Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

KnowledgeDeliver LMS Flaw Exploited to Deploy Godzilla and Cobalt Strike

1 minute de lecture

Mis à jour :

Exploitation de la vulnérabilité CVE-2026-5426 dans KnowledgeDeliver LMS

Une vulnérabilité critique affectant le système de gestion de l’apprentissage (LMS) « KnowledgeDeliver » a été exploitée comme zero-day pour déployer des logiciels malveillants, notamment le web shell Godzilla et le framework Cobalt Strike.

Points clés :

  • Mécanisme d’attaque : Les attaquants exploitent des clés de chiffrement (machineKeys) codées en dur dans les fichiers de configuration par défaut de l’éditeur. La connaissance de ces clés permet de manipuler le mécanisme « ViewState » d’ASP.NET.
  • Chaîne d’infection : L’exécution de code à distance (RCE) via la désérialisation du ViewState permet d’installer le web shell Godzilla. Les attaquants modifient ensuite des fichiers JavaScript légitimes pour afficher de fausses alertes de sécurité aux utilisateurs.
  • Impact final : Les utilisateurs sont incités à télécharger un prétendu « plugin d’authentification » qui installe en réalité Cobalt Strike Beacon, avec des charges utiles personnalisées pour chaque organisation ciblée.

Vulnérabilité identifiée :

  • CVE-2026-5426 (Score CVSS : 7.5) : Vulnérabilité de désérialisation ViewState due à l’utilisation de clés de chiffrement ASP.NET standardisées et codées en dur, permettant l’exécution de code à distance sans authentification.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs fournis par l’éditeur pour les installations antérieures au 24 février 2026.
  • Gestion des secrets : Remplacer impérativement les clés de chiffrement par défaut par des secrets uniques générés spécifiquement pour chaque déploiement.
  • Sécurisation et monitoring : Renforcer la surveillance des points de terminaison pour détecter les modifications non autorisées dans les répertoires d’applications Web et les comportements anormaux liés au ViewState.
  • Principe de moindre privilège : Restreindre strictement les permissions d’accès au système de fichiers du serveur pour limiter la portée d’une éventuelle compromission.

Source

Vous pourriez aimer