Hackers explotaron una vulnerabilidad crítica zero-day en un servidor que ejecutaba el sistema de gestión de aprendizaje (LMS) **KnowledgeDeliver** para desplegar el web shell **Godzilla**. ### La Vulnerabilidad CVE-2026-5426 La falla es un problema de deserialización rastreado como **CVE-2026-5426** y puede ser explotado sin autenticación. Se origina en el uso de una clave de máquina hardcodeada compartida en la configuración del portal web de todos los despliegues de clientes de **KnowledgeDeliver**. La vulnerabilidad fue divulgada por **Mandiant**. ### Ataque de Deserialización de ViewState Actores de amenazas obtuvieron la clave de máquina y la usaron en ataques de deserialización de ViewState para firmar payloads maliciosos de ViewState y lograr la ejecución remota de código a nivel del sistema operativo. **Mandiant** respondió a un ataque en un servidor **KnowledgeDeliver** a finales de 2025 y determinó que la vulnerabilidad fue explotada inicialmente como un zero-day para inyectar un script malicioso en la plataforma web. La explotación fue posible debido al uso de "claves de máquina ASP.NET precompartidas idénticas en múltiples despliegues de clientes", dijeron los investigadores. "Las instalaciones de **KnowledgeDeliver** desplegadas antes del 24 de febrero de 2026 dependían de un archivo web.config estandarizado proporcionado por el proveedor. Este archivo de configuración contenía valores de machineKey hardcodeados utilizados por el framework ASP.NET para cifrar y firmar datos, incluyendo payloads de ViewState", explica **Mandiant**. Según los investigadores, el código malicioso en la plataforma "convenció a los usuarios de descargar un instalador falso", lo que llevó a que la máquina se infectara con un beacon de **Cobalt Strike**, esencialmente plantando una backdoor. "El payload fue cifrado utilizando una clave que usaba el nombre de la organización comprometida, lo que indicaba que el actor de amenazas preparó este payload específicamente para la organización objetivo", dice **Mandiant** en su informe. ### Entrega del Godzilla Web Shell **Mandiant** afirma que el actor de amenazas desplegó el web shell en memoria basado en .NET, **Godzilla** (también conocido como BlueBeam), que también ha sido utilizado en ataques similares observados por **Microsoft** a finales de 2024. En agosto de 2024, investigadores de **ASEC** también informaron que **Godzilla** estaba siendo desplegado en entornos ASP.NET en ataques de deserialización de ViewState dirigidos a empresas del sector financiero. **Mandiant** señala que el actor de amenazas que comprometió instancias de **KnowledgeDeliver** ejecutó comandos para escalar su control sobre el sistema de archivos del servidor web. Esto les permitió modificar un archivo JavaScript de la aplicación con código que solicitaba a los usuarios instalar un "plugin de autenticación de seguridad" y cargar un script malicioso desde un dominio bajo el control del atacante. ### Un Patrón de Ataques de Deserialización de ViewState Durante el último año, los hackers han utilizado claves de máquina mal configuradas en ataques de deserialización de ViewState dirigidos a plataformas web de diversos productos. En marzo del año pasado, actores de amenazas abusaron de una clave de máquina hardcodeada para crear un payload malicioso que permitió el acceso a los servidores de intercambio de archivos seguros de **Gladinet CentreStack**. En julio de 2025, hackers comprometieron 85 servidores de **Microsoft SharePoint** después de robar la clave de máquina para crear payloads maliciosos firmados de ViewState. Actores patrocinados por estados también utilizaron ataques de deserialización de ViewState para desplegar una herramienta de reconocimiento llamada WeepSteel en servidores **Sitecore** que exponían la clave de máquina ASP.NET.  ## La Brecha de Validación: Pentesting Automatizado Responde Una Pregunta. Necesitas Seis. Las herramientas de pentesting automatizado entregan valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)