Des pirates ont exploité une vulnérabilité de type zéro-day dans un serveur qui utilise le système de gestion de l’apprentissage KnowledgeDeliver. Ils ont pu déployer un outil malveillant appelé Godzilla.
Cette vulnérabilité porte le numéro CVE-2026-5426. Il s’agit d’un problème de désérialisation. Elle peut être exploitée sans que l’attaquant ait besoin de s’authentifier. La cause provient d’une clé de chiffrement identique et pré-configurée, que le fournisseur a utilisée dans tous les déploiements de ses clients.
Une attaque par désérialisation
Les attaquants ont récupéré cette clé machine. Ils s’en sont servis pour lancer des attaques contre un composant nommé ViewState. En signant des charges utiles malveillantes avec cette clé, ils ont obtenu un accès pour exécuter du code à distance sur le système d’exploitation.
La société de sécurité Mandiant a indiqué qu’elle était intervenue fin 2025 après une attaque sur un serveur KnowledgeDeliver. Les chercheurs expliquent que la vulnérabilité a d’abord été exploitée comme un zéro-day. L’objectif était d’injecter un script malveillant dans la plateforme web.
L’exploitation a été possible car les déploiements client utilisaient « des clés machine ASP.NET pré-partagées et identiques ».
Mandiant précise : « Les installations de KnowledgeDeliver déployées avant le 24 février 2026 dépendaient d’un fichier de configuration web standardisé fourni par l’éditeur. Ce fichier contenait des valeurs de clés machine figées dans le code. Le framework ASP.NET utilise ces clés pour chiffrer et signer des données, par exemple les charges utiles ViewState. »
D’après les chercheurs, le code malveillant placé sur la plateforme « incitait les utilisateurs à télécharger un faux programme d’installation ». Cette action infectait ensuite la machine avec un outil de type Cobalt Strike. Cet outil agissait comme une porte dérobée.
Mandiant rapporte dans son analyse : « La charge utile malveillante était chiffrée avec une clé qui reprenait le nom de l’organisation victime. Cela montre que la menace a été préparée spécifiquement pour cette cible. »
Le déploiement de l’outil Godzilla
Mandiant affirme que les attaquants ont déployé un script web en mémoire, basé sur le framework .NET et nommé Godzilla. Ce dernier est aussi connu sous le nom de BlueBeam. Microsoft avait déjà observé son utilisation dans des attaques similaires fin 2024.
En août 2024, les chercheurs de la société de cybersécurité ASEC avaient également signalé que Godzilla était déployé dans des environnements ASP.NET. Ces attaques par désérialisation ViewState visaient alors des entreprises du secteur financier.
Mandiant indique que les pirates qui ont compromis les instances de KnowledgeDeliver ont exécuté des commandes. Leur but était de renforcer leur contrôle sur le système de fichiers du serveur web.
Cette manœuvre leur a permis de modifier un fichier JavaScript d’application. Ils y ont inséré un code qui invitait les utilisateurs à installer un « module d’authentification de sécurité ». Ce code lançait aussi le chargement d’un script malveillant hébergé sur un domaine contrôlé par l’attaquant.
Au cours de l’année dernière, des pirates ont souvent exploité des clés machines mal sécurisées. Ils ont mené des attaques par désérialisation ViewState contre des plateformes web pour divers produits.
En mars dernier, des acteurs malveillants avaient abusé d’une clé machine figée dans le code. Ils avaient créé une charge utile qui donnait accès aux serveurs de partage de fichiers sécurisés Gladinet CentreStack.
En juillet 2025, des hackers ont compromis 85 serveurs Microsoft SharePoint. Ils avaient auparavant volé la clé machine pour créer des charges utiles ViewState malveillantes et signées.
Des acteurs soutenus par des Etats nationaux ont aussi utilisé ce type d’attaque. Ils déployaient un outil de reconnaissance nommé WeepSteel sur des serveurs Sitecore qui exposaient leur clé machine ASP.NET.