1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


TugaTech » Software » Noticias de Software » Falha no sistema KnowledgeDeliver permite controlo total de servidores

hacker em sistema

Piratas informáticos exploraram uma vulnerabilidade crítica zero-day no sistema de gestão de aprendizagem KnowledgeDeliver para implementar a web shell Godzilla, de acordo com o detalhado pela Mandiant. O problema, registado como CVE-2026-5426, pode ser explorado sem qualquer autenticação prévia.

A raiz do problema na desserialização

A falha tem origem na utilização de uma chave de máquina estática e partilhada nas configurações do portal web em todas as implementações dos clientes do KnowledgeDeliver. As instalações efetuadas antes de 24 de fevereiro de 2026 dependiam de um ficheiro de configuração normalizado fornecido pelo fabricante. Esta configuração continha valores fixos utilizados pela estrutura ASP.NET para encriptar e assinar dados, incluindo os componentes de ViewState.

Ao obterem esta chave, os responsáveis pelo ataque conseguiram utilizá-la em manobras de desserialização do ViewState. Este processo permitiu assinar pacotes maliciosos e alcançar a execução remota de código ao nível do sistema operativo, assumindo os privilégios do servidor.

Propagação de ameaças e histórico

No final de 2025, a equipa de resposta a incidentes analisou um servidor KnowledgeDeliver e confirmou que a vulnerabilidade foi inicialmente usada para injetar um script malicioso na plataforma web. Este código convencia os utilizadores a descarregar um falso instalador associado a um suposto plugin de autenticação de segurança. A interação resultava na infeção da máquina com um beacon do Cobalt Strike, instalando uma porta traseira que era encriptada usando o próprio nome da organização alvo.

Os atacantes implementaram a web shell Godzilla, também conhecida como BlueBeam, que opera diretamente em memória. Esta ferramenta não é inédita neste tipo de explorações, tendo sido observada pela Microsoft em cenários semelhantes no final de 2024 e reportada no setor financeiro em agosto do mesmo ano.

A exploração de chaves de máquina mal protegidas no ViewState tem um longo histórico recente. Em março do ano passado, a técnica permitiu o acesso a servidores da Gladinet CentreStack. Já em julho de 2025, a mesma abordagem comprometeu 85 servidores SharePoint, enquanto atores patrocinados por estados utilizaram táticas idênticas para instalar a ferramenta WeepSteel em servidores Sitecore.

Adicionar o TugaTech
como Fonte Preferida no Google
Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!

Comentar





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech