Um grupo de hackers explorou uma vulnerabilidade crítica de zero-day no servidor do sistema de gestão de aprendizagem KnowledgeDeliver, permitindo a implantação de um web shell conhecido como Godzilla. A falha, identificada como CVE-2026-5426, é um problema de deserialização que pode ser explorado sem autenticação, devido ao uso de uma chave de máquina compartilhada e hardcoded na configuração do portal web. Os atacantes conseguiram obter essa chave e realizar ataques de deserialização em ViewState, permitindo a execução remota de código no nível do sistema operacional. A Mandiant, que respondeu ao ataque no final de 2025, destacou que a vulnerabilidade foi inicialmente utilizada para injetar um script malicioso na plataforma web. O código malicioso induziu os usuários a baixar um instalador falso, resultando na infecção com um beacon do Cobalt Strike, criando uma porta dos fundos. Além disso, o Godzilla, um web shell baseado em .NET, foi utilizado para escalar o controle sobre o sistema de arquivos do servidor web. Este incidente ressalta a crescente preocupação com a segurança em plataformas web, especialmente aquelas que utilizam chaves de máquina inadequadamente protegidas.
Fonte: https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
26/05/2026 • Risco: CRITICO
VULNERABILIDADE
Hackers exploram vulnerabilidade crítica no sistema KnowledgeDeliver
RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2026-5426 no KnowledgeDeliver pode resultar em sérios compromissos de segurança, exigindo que as organizações revisem suas configurações de segurança e implementem medidas de mitigação imediatas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de dados e custos de remediação.
Operacional
Injeção de código malicioso e instalação de backdoors em sistemas comprometidos.
Setores vulneráveis
['Tecnologia da Informação', 'Educação', 'Financeiro']
📊 INDICADORES CHAVE
Exploração sem autenticação da vulnerabilidade.
Indicador
Uso de chaves de máquina idênticas em múltiplas implantações.
Contexto BR
Comprometimento de servidores em ataques anteriores, como no Gladinet CentreStack.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há uso de chaves de máquina hardcoded em sistemas web.
2
Alterar chaves de máquina para valores únicos e seguros.
3
Monitorar atividades suspeitas e tentativas de acesso não autorizado nos servidores.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas plataformas web, especialmente aquelas que utilizam configurações padrão que podem ser facilmente exploradas.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, que exige proteção rigorosa de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
