Des hackers ont exploité une vulnérabilité critique de type zero-day dans le système de gestion de l’apprentissage KnowledgeDeliver pour déployer la web shell Godzilla. Cette faille de désérialisation, répertoriée sous le code CVE-2026-5426, peut être exploitée sans authentification en raison de l’utilisation d’une clé machine partagée et codée en dur dans la configuration du portail web. Les cybercriminels ont réussi à obtenir cette clé et l’ont utilisée pour mener des attaques de désérialisation ViewState, permettant l’exécution de code à distance au niveau du système d’exploitation. Les installations antérieures à février 2026 comportaient des fichiers de configuration standardisés avec des valeurs de machineKey codées en dur, ce qui a permis aux attaquants de tromper les utilisateurs en leur faisant télécharger un faux installateur, infectant ainsi les machines avec un backdoor. En outre, les hackers ont déployé la web shell Godzilla en mémoire, leur permettant de modifier des fichiers JavaScript pour inciter les utilisateurs à installer un faux plugin d’authentification de sécurité et à charger des scripts malveillants. Cette technique d’attaque a été observée dans divers produits, exploitant des clés machines mal sécurisées pour réaliser des attaques similaires.
Une vulnérabilité zero-day dans KnowledgeDeliver est-elle utilisée pour déployer des web shells ?
