Pesquisadores da Mandiant, uma empresa de cibersegurança que integra o ecossistema Google, revelaram no final de 2025 a descoberta de uma vulnerabilidade crítica no sistema KnowledgeDeliver. Este sistema de gestão de aprendizagem (LMS), desenvolvido pela Digital Knowledge, é amplamente adotado por diversas empresas e instituições de ensino, principalmente no Japão.
A falha, catalogada sob o identificador CVE-2026-5426, permitiu que agentes maliciosos não identificados comprometessem os servidores da plataforma. Como resultado, os invasores conseguiram instalar backdoors e, subsequentemente, infectar os computadores dos próprios usuários que acessavam a ferramenta, configurando um ataque de grande impacto.
Chaves secretas idênticas em todas as instalações abrem brecha crítica
A raiz do problema no KnowledgeDeliver residia na forma como o sistema lidava com suas chaves secretas. Todo software baseado na web necessita dessas chaves para proteger a integridade dos dados que trafegam entre o servidor e o navegador do usuário. Elas atuam como “senhas internas” que impedem a manipulação ou falsificação de informações por terceiros.
Contudo, o KnowledgeDeliver era distribuído com essas chaves já predefinidas pelo fabricante, e o mais preocupante é que elas eram idênticas em todas as instalações do sistema. Isso significava que qualquer organização que implementasse o KnowledgeDeliver sem alterar esse arquivo de configuração estava, na prática, utilizando a mesma “senha” que todas as outras. Um atacante que descobrisse essas chaves poderia, então, explorar qualquer servidor vulnerável em qualquer lugar do mundo.
Mecanismo da falha: como atacantes exploram o KnowledgeDeliver
A tecnologia ASP.NET, empregada pelo KnowledgeDeliver, utiliza essas chaves para assinar e verificar pacotes de dados específicos, conhecidos como ViewState. O ViewState é um componente crucial que mantém o estado de uma página web entre as diferentes interações do usuário com o servidor, garantindo a continuidade da sessão.
Com acesso à chave secreta, um atacante podia criar um ViewState falso e malicioso. Ao enviar esse pacote adulterado para o servidor, o sistema o processava como se fosse legítimo. Esse método abria caminho para a execução remota de código (RCE), permitindo que o invasor executasse comandos diretamente no servidor sem a necessidade de credenciais de acesso válidas. Para mais informações sobre ciberataques, veja este artigo.
Ações pós-invasão: de web shell a infecção por Cobalt Strike
Uma vez estabelecido o controle sobre o servidor, os atacantes prosseguiram com a instalação de um web shell, batizado de BLUEBEAM (também conhecido como Godzilla). Um web shell é uma ferramenta que permite ao invasor manter o controle remoto do servidor, mesmo após o encerramento da sessão inicial de acesso. O BLUEBEAM, em particular, operava inteiramente na memória do processo do servidor, o que dificultava significativamente sua detecção por ferramentas de segurança convencionais.
A partir daí, os invasores expandiram seu domínio sobre os arquivos do servidor. Eles alteraram as permissões da pasta da aplicação web, tornando-a modificável por qualquer usuário. Em seguida, um arquivo JavaScript legítimo da plataforma foi adulterado. Este arquivo modificado passou a exibir um alerta falso de segurança para os usuários que acessavam o site, solicitando a instalação de um “plugin de autenticação de segurança”. Simultaneamente, um código malicioso hospedado em um domínio controlado pelos atacantes era carregado silenciosamente.
O desfecho dessa cadeia de ataques foi a instalação de um backdoor Cobalt Strike nos computadores das vítimas. O Cobalt Strike, embora seja uma ferramenta legítima para testes de segurança, é frequentemente explorado por grupos criminosos para manter acesso remoto persistente a sistemas comprometidos. A carga maliciosa estava criptografada com uma chave que incluía o nome da organização visada, um indício claro de que o ataque foi meticulosamente planejado para um alvo específico.
Organizações em risco e medidas urgentes de segurança
Todas as instalações do KnowledgeDeliver realizadas antes de 24 de fevereiro de 2026 estão potencialmente expostas a essa vulnerabilidade. A Mandiant, do Google, emitiu recomendações urgentes para as organizações afetadas, enfatizando a necessidade de rotação imediata das chaves de máquina (machine keys) em cada instância do sistema.
É crucial que sejam gerados valores únicos e criptograficamente robustos para cada ambiente. Além disso, a Mandiant sugere que o acesso ao LMS seja restrito a faixas de IP conhecidas da organização e que logs de eventos sejam minuciosamente investigados em busca de quaisquer sinais de exploração da falha.
