O que e a vulnerabilidade

A vulnerabilidade zero-day no KnowledgeDeliver LMS, identificada como CVE-2026-5426, permite a instalacao de web shells Godzilla sem necessidade de autenticacao. Isso ocorre devido ao uso de uma chave de maquina padronizada e compartilhada em todas as configuracoes do sistema.

Como funciona a exploracao

Hackers exploram a falha por meio de ataques de desserializacao ViewState, usando a chave de maquina para assinar cargas maliciosas. Isso possibilita a execucao remota de codigo no nivel do sistema operacional, comprometendo a seguranca do servidor.

Sinais de alerta

Para identificar ataques, fique atento a:

• Alteracoes inesperadas nos arquivos do servidor
• Aumento de trafego de rede suspeito
• Presenca de arquivos desconhecidos no sistema

Como se proteger

Para mitigar os riscos, siga estas medidas:

• Atualize o KnowledgeDeliver para a versao mais recente
• Monitore logs de acesso e eventos do sistema
• Implemente politicas de seguranca de rede robustas

Checklist pratico

1. Revise e atualize configuracoes de seguranca
2. Verifique a integridade dos arquivos do servidor
3. Implemente auditorias regulares de seguranca

Perguntas frequentes

O que e um web shell?

Um web shell e um script malicioso que permite acesso remoto a um servidor comprometido.

Como a vulnerabilidade foi descoberta?

A falha foi identificada por pesquisadores durante a resposta a um incidente de seguranca.

Quais sistemas sao afetados?

Sistemas que utilizam o KnowledgeDeliver LMS com configuracoes padronizadas anteriores a fevereiro de 2026.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.bleepingcomputer.com/news/security/knowledgedeliver-flaw-exploited-as-a-zero-day-to-install-web-shells/