Des pirates ont exploité une vulnérabilité critique zero-day dans un serveur exécutant le système de gestion de l'apprentissage (LMS) **KnowledgeDeliver** pour déployer le web shell **Godzilla**. ### La Vulnérabilité CVE-2026-5426 La faille est un problème de désérialisation suivi sous **CVE-2026-5426** et peut être exploitée sans authentification. Elle découle de l'utilisation d'une clé machine codée en dur partagée dans la configuration du portail web de tous les déploiements clients **KnowledgeDeliver**. La vulnérabilité a été divulguée par **Mandiant**. ### Attaque de Désérialisation ViewState Les acteurs de la menace ont obtenu la clé machine et l'ont utilisée dans des attaques de désérialisation ViewState pour signer des payloads ViewState malveillants et obtenir une exécution de code à distance au niveau du système d'exploitation. **Mandiant** a répondu à une attaque sur un serveur **KnowledgeDeliver** fin 2025 et a déterminé que la vulnérabilité avait été initialement exploitée comme une zero-day pour injecter un script malveillant dans la plateforme web. L'exploitation a été possible en raison de l'utilisation de « clés machine ASP.NET pré-partagées identiques sur plusieurs déploiements clients », ont déclaré les chercheurs. « Les installations **KnowledgeDeliver** déployées avant le 24 février 2026 s'appuyaient sur un fichier web.config standardisé fourni par le vendeur. Ce fichier de configuration contenait des valeurs machineKey codées en dur utilisées par le framework ASP.NET pour chiffrer et signer les données, y compris les payloads ViewState », explique **Mandiant**. Selon les chercheurs, le code malveillant sur la plateforme « a convaincu les utilisateurs de télécharger un faux installateur », ce qui a conduit à l'infection de la machine avec un beacon **Cobalt Strike**, plantant essentiellement une backdoor. « Le payload a été chiffré à l'aide d'une clé portant le nom de l'organisation compromise, ce qui indique que l'acteur de la menace avait préparé ce payload spécifiquement pour l'organisation ciblée », indique **Mandiant** dans son rapport. ### Livraison du Web Shell Godzilla **Mandiant** indique que l'acteur de la menace a déployé le web shell en mémoire basé sur .NET, **Godzilla** (alias BlueBeam), qui a également été utilisé dans des attaques similaires observées par **Microsoft** fin 2024. En août 2024, des chercheurs d'**ASEC** avaient également signalé que **Godzilla** était déployé dans des environnements ASP.NET lors d'attaques de désérialisation ViewState ciblant des entreprises du secteur financier. **Mandiant** note que l'acteur de la menace compromettant les instances **KnowledgeDeliver** a exécuté des commandes pour étendre son contrôle sur le système de fichiers du serveur web. Cela leur a permis de modifier un fichier JavaScript d'application avec du code qui invitait les utilisateurs à installer un « plugin d'authentification de sécurité » et à charger un script malveillant depuis un domaine sous le contrôle de l'attaquant. ### Un Schéma d'Attaques de Désérialisation ViewState Au cours de la dernière année, des pirates ont utilisé des clés machine mal sécurisées dans des attaques de désérialisation ViewState ciblant des plateformes web pour divers produits. En mars de l'année dernière, des acteurs de la menace ont abusé d'une clé machine codée en dur pour créer un payload malveillant qui a permis d'accéder aux serveurs de partage de fichiers sécurisés de **Gladinet CentreStack**. En juillet 2025, des pirates ont compromis 85 serveurs **Microsoft SharePoint** après avoir volé la clé machine pour créer des payloads ViewState malveillants signés. Des acteurs parrainés par des États ont également utilisé des attaques de désérialisation ViewState pour déployer un outil de reconnaissance nommé WeepSteel sur des serveurs **Sitecore** qui exposaient la clé machine ASP.NET.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)