Hackers exploraram uma vulnerabilidade crítica zero-day em um servidor executando o sistema de gerenciamento de aprendizado (LMS) **KnowledgeDeliver** para implantar o web shell **Godzilla**. ### A Vulnerabilidade CVE-2026-5426 A falha é um problema de desserialização rastreado como **CVE-2026-5426** e pode ser explorada sem autenticação. Ela decorre do uso de uma chave de máquina hardcoded compartilhada na configuração do portal web em todas as implantações de clientes **KnowledgeDeliver**. A vulnerabilidade foi divulgada pela **Mandiant**. ### Ataque de Desserialização ViewState Atores de ameaça obtiveram a chave de máquina e a usaram em ataques de desserialização ViewState para assinar payloads ViewState maliciosos e alcançar a execução remota de código no nível do sistema operacional. A **Mandiant** respondeu a um ataque em um servidor **KnowledgeDeliver** no final de 2025 e determinou que a vulnerabilidade foi inicialmente explorada como um zero-day para injetar um script malicioso na plataforma web. A exploração foi possível devido ao uso de “chaves de máquina ASP.NET pré-compartilhadas idênticas em múltiplas implantações de clientes”, disseram os pesquisadores. “Instalações **KnowledgeDeliver** implantadas antes de 24 de fevereiro de 2026 dependiam de um arquivo web.config padronizado fornecido pelo fornecedor. Este arquivo de configuração continha valores machineKey hardcoded usados pelo framework ASP.NET para criptografar e assinar dados, incluindo payloads ViewState”, explica a **Mandiant**. De acordo com os pesquisadores, o código malicioso na plataforma “convinha os usuários a baixar um instalador falso”, o que levou à infecção da máquina com um beacon **Cobalt Strike**, essencialmente plantando um backdoor. “O payload foi criptografado usando uma chave que usava o nome da organização comprometida, o que indicava que o ator de ameaça preparou este payload especificamente para a organização alvo”, diz a **Mandiant** em seu relatório. ### Entrega do Web Shell Godzilla A **Mandiant** afirma que o ator de ameaça implantou o web shell in-memory baseado em .NET, **Godzilla** (também conhecido como BlueBeam), que também foi usado em ataques semelhantes observados pela **Microsoft** no final de 2024. Em agosto de 2024, pesquisadores da **ASEC** também relataram que o **Godzilla** estava sendo implantado em ambientes ASP.NET em ataques de desserialização ViewState visando empresas do setor financeiro. A **Mandiant** observa que o ator de ameaça que comprometeu instâncias **KnowledgeDeliver** executou comandos para escalar seu controle sobre o sistema de arquivos do servidor web. Isso permitiu que eles modificassem um arquivo JavaScript da aplicação com código que solicitava aos usuários a instalação de um “plugin de autenticação de segurança” e o carregamento de um script malicioso de um domínio sob o controle do atacante. ### Um Padrão de Ataques de Desserialização ViewState No último ano, hackers usaram chaves de máquina inadequadamente protegidas em ataques de desserialização ViewState visando plataformas web de vários produtos. Em março do ano passado, atores de ameaça abusaram de uma chave de máquina hardcoded para criar um payload malicioso que permitia o acesso aos servidores de compartilhamento de arquivos seguros do **Gladinet CentreStack**. Em julho de 2025, hackers comprometeram 85 servidores **Microsoft SharePoint** após roubar a chave de máquina para criar payloads ViewState maliciosos assinados. Atores patrocinados por estados também usaram ataques de desserialização ViewState para implantar uma ferramenta de reconhecimento chamada WeepSteel em servidores **Sitecore** que expuseram a chave de máquina ASP.NET.  ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram construídas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, suas regras de detecção disparam ou suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)