Des hackers ont exploité une vulnérabilité critique de type zero-day dans le système de gestion de l’apprentissage KnowledgeDeliver pour déployer la web shell Godzilla. Cette faille de désérialisation, identifiée comme CVE-2026-5426, peut être exploitée sans authentification et provient de l’utilisation d’une clé machine partagée et codée en dur dans la configuration du portail web. Les acteurs malveillants ont obtenu cette clé et l’ont utilisée dans des attaques de désérialisation ViewState pour exécuter du code à distance au niveau du système d’exploitation. Des installations antérieures à février 2026 contenaient des fichiers de configuration standardisés avec des valeurs de machineKey codées en dur, permettant aux attaquants de convaincre les utilisateurs de télécharger un faux installateur, infectant ainsi les machines avec un backdoor. Les attaquants ont aussi déployé la web shell Godzilla en mémoire, leur permettant de modifier des fichiers JavaScript pour inciter les utilisateurs à installer un plugin d’authentification de sécurité et charger des scripts malveillants. Cette méthode d’attaque a été utilisée dans divers produits, exploitant des clés machines mal sécurisées pour mener des attaques similaires.
Is a zero-day vulnerability in KnowledgeDeliver being used to deploy web shells?
