Se ha detectado una vulnerabilidad de día cero en el sistema de gestión de aprendizaje (LMS) KnowledgeDeliver, identificada como CVE-2026-5426. Según Mandiant, este fallo permite la ejecución remota de código (RCE) sin necesidad de autenticación, afectando a las instalaciones que utilizan configuraciones predeterminadas de ASP.NET. Esta vulnerabilidad ha sido explotada activamente para desplegar la web shell en memoria conocida como BLUEBEAM.

Una vulnerabilidad de día cero recién revelada en el Sistema de Gestión de Aprendizaje (LMS) KnowledgeDeliver ha sido explotada activamente en entornos reales para desplegar la web shell en memoria BLUEBEAM, según los hallazgos de respuesta a incidentes de Mandiant.

El fallo, ahora rastreado como CVE-2026-5426, permite la ejecución remota de código (RCE) sin autenticación y afecta a los despliegues que dependían de la configuración predeterminada de ASP.NET antes del 24 de febrero de 2026.

KnowledgeDeliver, desarrollado por la empresa japonesa Digital Knowledge, se utiliza ampliamente en entornos empresariales y educativos. La investigación de Mandiant sobre una brecha a finales de 2025 reveló que la causa raíz del compromiso surgió de prácticas criptográficas inseguras, específicamente la reutilización de claves de máquina ASP.NET idénticas en múltiples instalaciones de clientes.

Estas claves son responsables de asegurar los datos de ViewState, un mecanismo que preserva el estado de la página entre solicitudes en las aplicaciones ASP.NET.

Explotación del Día Cero en KnowledgeDeliver LMS

Debido a que los valores de machineKey estaban codificados y se compartían, los atacantes que obtuvieron estas claves de una sola instancia pudieron falsificar cargas útiles de ViewState maliciosas y reutilizarlas en otros servidores expuestos.

Al crear una carga útil serializada y entregarla a través del parámetro __VIEWSTATE en las solicitudes HTTP, el actor de la amenaza obligó al servidor a deserializar datos no confiables, logrando efectivamente la ejecución remota de código.

Esta cadena de ataque refleja fielmente los ataques de deserialización de ViewState documentados previamente en plataformas como Sitecore y campañas anteriores destacadas por Microsoft que involucraban claves de máquina expuestas.

Tras el acceso inicial, el atacante desplegó BLUEBEAM, una web shell basada en .NET también conocida como Godzilla. A diferencia de las web shells tradicionales que dependen de archivos almacenados en disco, BLUEBEAM opera enteramente en memoria dentro del proceso de trabajo de IIS (w3wp.exe), reduciendo significativamente su huella forense.

El malware se comunica mediante solicitudes HTTP POST cifradas, lo que permite a los atacantes ejecutar comandos, cargar archivos y mantener la persistencia sin activar los mecanismos convencionales de detección basados en archivos.

La intrusión no se detuvo en el acceso al servidor. Mandiant observó que el atacante modificaba los permisos del sistema de archivos utilizando icacls para otorgar amplios derechos de acceso, debilitando efectivamente los controles de seguridad en el host comprometido.

Además, se manipularon archivos JavaScript legítimos dentro del LMS para inyectar código malicioso. Este código mostraba una alerta de seguridad fraudulenta que instaba a los usuarios a instalar un supuesto complemento de autenticación, mientras cargaba simultáneamente scripts externos desde la infraestructura controlada por el atacante.

Este componente de ingeniería social provocó infecciones posteriores. Los usuarios que descargaron el complemento falso fueron infectados con una carga útil de Cobalt Strike Beacon, un marco de post-explotación ampliamente abusado.

Notablemente, la carga útil estaba cifrada con una clave derivada del nombre de la organización víctima, lo que indica que el actor de la amenaza realizó un reconocimiento previo y dirigido.

Existen oportunidades de detección para esta actividad, pero requieren un monitoreo cuidadoso del comportamiento del sistema y de la aplicación. Los registros de Aplicación de Windows pueden contener entradas de Event ID 1316 de ASP.NET que indiquen fallos de validación o anomalías en ViewState.

En algunos casos, las cargas útiles creadas con éxito generaron errores de "ViewState no válido" que aun así resultaron en intentos de deserialización. Mandiant informó haber recuperado fragmentos de carga útil codificados de estos registros, los cuales estaban vinculados a la actividad de BLUEBEAM.

El monitoreo de procesos es igualmente crítico, ya que los procesos hijos sospechosos como cmd.exe o powershell.exe generados desde w3wp.exe pueden indicar una explotación. El monitoreo de la integridad de archivos puede revelar modificaciones no autorizadas en archivos .js, .aspx o .config, particularmente la inserción de cargadores de scripts remotos.

Los defensores de la red también deberían vigilar las cadenas de User-Agent anómalas, especialmente aquellas formadas por la concatenación de múltiples firmas de navegador, un patrón consistente con campañas previas de explotación de ViewState.

La única remediación efectiva para esta vulnerabilidad es la rotación inmediata de las claves de máquina de ASP.NET por valores únicos y criptográficamente fuertes por cada despliegue.

También se recomienda a las organizaciones restringir el acceso al LMS a rangos de IP confiables y realizar una búsqueda retrospectiva de amenazas (threat hunting) para identificar signos de compromiso.

Un indicador conocido asociado con la campaña incluye la carga útil de BLUEBEAM “LoadLibrary.dll” con el hash SHA-256 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2.

Este incidente subraya el riesgo sistémico que representan los secretos compartidos en las plantillas de despliegue de software. Una sola clave expuesta puede desencadenar un compromiso generalizado en organizaciones no relacionadas, reforzando la necesidad de configuraciones seguras por defecto y un monitoreo continuo de las amenazas en la capa de aplicación.