KnowledgeDeliver e Ghost CMS sotto attacco, exploit attivi su LMS e CMS

Due vulnerabilità critiche vengono sfruttate attivamente contro piattaforme web esposte e confermano quanto il rischio applicativo resti centrale nella superficie d’attacco delle organizzazioni. La prima colpisce KnowledgeDeliver, popolare Learning Management System giapponese, attraverso una deserializzazione ViewState che consente remote code execution non autenticata. La seconda riguarda Ghost CMS e sfrutta una SQL injection nel Content API per estrarre chiavi amministrative, modificare contenuti pubblicati e trasformare oltre 700 siti web legittimi in vettori di campagne ClickFix. In parallelo, Microsoft conferma un bug su Windows Server 2016 introdotto dall’aggiornamento di sicurezza KB5087537 di maggio 2026, capace di impedire la ricerca dei Domain Controller su sistemi con hostname esattamente di 15 caratteri. Il quadro emerso tra il 7 e il 25 maggio 2026 mette insieme tre livelli di rischio: piattaforme LMS compromesse da configurazioni di default, CMS usati come piattaforme di poisoning massivo e ambienti enterprise esposti a regressioni che impattano funzioni essenziali di Active Directory. Il filo tecnico comune è la fragilità operativa delle infrastrutture quando patch disponibili, segreti condivisi, API esposte e aggiornamenti legacy non vengono governati con sufficiente velocità.

KnowledgeDeliver vulnerabile per machineKey hardcoded e ViewState manipolabile

La vulnerabilità CVE-2026-5426, assegnata a KnowledgeDeliver con punteggio CVSS 7.5, nasce da un errore di configurazione grave: le chiavi machineKey hardcoded nel file web.config standard fornito dal vendor erano identiche per tutte le installazioni precedenti al 24 febbraio 2026. In un’applicazione ASP.NET, il meccanismo ViewState serve a mantenere lo stato della pagina tra postback e viene protetto proprio attraverso chiavi usate per firma e cifratura. Quando queste chiavi diventano prevedibili, riutilizzate o pubbliche, un attaccante può generare payload ViewState validi e inviarli al server tramite una semplice richiesta HTTP con parametro __VIEWSTATE. Il server decritta e deserializza il contenuto considerandolo legittimo, aprendo la strada all’esecuzione di codice arbitrario senza autenticazione. Il vendor ha corretto il problema il 24 febbraio 2026, ma molte istanze esposte su internet risultano ancora vulnerabili, dimostrando ancora una volta come il tempo tra patch disponibile e patch applicata resti uno dei principali vantaggi operativi per gli attaccanti. Gli esperti di Mandiant e Google Cloud Threat Intelligence seguono la campagna da mesi e hanno osservato payload reali in grado di installare web shell, modificare file applicativi e preparare infezioni successive con strumenti offensivi più sofisticati. Il caso evidenzia una criticità strutturale: una configurazione di default insicura può trasformare migliaia di ambienti formalmente distinti in un’unica superficie vulnerabile, soprattutto quando il segreto crittografico non è generato in modo univoco per ogni installazione.

Godzilla, BLUEBEAM e Cobalt Strike nella catena di compromissione LMS

Dopo lo sfruttamento della deserializzazione ViewState, gli attaccanti installano la web shell Godzilla, nota anche come BLUEBEAM, che opera in memoria all’interno del processo w3wp.exe e concede controllo completo sulla directory dell’applicazione web. Il malware consente agli operatori di mantenere persistenza, eseguire comandi e manipolare file senza dipendere da accessi legittimi. Mandiant ha decrittografato payload reali e recuperato un campione di BLUEBEAM con hash SHA-256 7c1f99dca8e5a7897892f9d224a6495023a2cfd2671697d229d355978c415ed2, elemento utile per le attività di detection e threat hunting. Gli attaccanti modificano poi i permessi con icacls, concedendo accesso Everyone alla directory applicativa, e alterano file .js nel web root per caricare script remoti. La fase successiva è particolarmente aggressiva: i file JavaScript modificati mostrano agli utenti un falso alert di sicurezza che invita a installare un presunto plugin di autenticazione. Il download porta invece a un installer fasullo che distribuisce Cobalt Strike Beacon, payload ampiamente usato in intrusioni avanzate, red team e campagne criminali. Il payload finale viene cifrato con una chiave derivata dal nome dell’organizzazione compromessa, dettaglio che mostra un livello di personalizzazione mirato e rende meno efficace la rilevazione generica. I segnali tecnici includono processi figli sospetti generati da w3wp.exe, come cmd.exe, whoami o powershell.exe, eventi ASP.NET 1316 con messaggi relativi a verifica fallita o ViewState non valido, file anomali come LoadLibrary.dll e User-Agent concatenati che uniscono identificatori di browser diversi. La compromissione non resta quindi confinata al server LMS, ma diventa vettore per colpire utenti dell’organizzazione attraverso una catena che combina exploit server-side, web shell, social engineering e beaconing offensivo.

Ghost CMS colpito da SQL injection nel Content API

La seconda campagna riguarda Ghost CMS e sfrutta la vulnerabilità CVE-2026-26980, una SQL injection nel Content API con punteggio CVSS 9.4. La falla consente a un attaccante non autenticato di leggere dati arbitrari dal database, inclusa la chiave Admin API. Una volta ottenuta questa chiave, gli aggressori usano il Ghost Admin API per modificare in massa gli articoli pubblicati e iniettare loader JavaScript malevoli nei contenuti già indicizzati e visitati da utenti reali.

La campagna viene rilevata il 7 maggio 2026 e ha già compromesso oltre 700 siti web appartenenti a settori come università, blockchain, intelligenza artificiale, SaaS, ricerca sulla sicurezza, media e fintech. Il dato più preoccupante riguarda la credibilità dei siti infetti: gli utenti raggiungono pagine legittime, appartenenti a entità conosciute o settori sensibili, e vengono esposti a codice malevolo senza dover interagire con domini palesemente sospetti. La patch è disponibile dalla versione Ghost CMS 6.19.1, rilasciata a febbraio 2026, ma molti amministratori non hanno ancora aggiornato.

Anche in questo caso, il problema non è soltanto la vulnerabilità in sé, ma la lentezza dell’adozione delle patch in ambienti pubblici, spesso gestiti da piccoli team editoriali, organizzazioni decentralizzate o strutture che sottovalutano l’impatto di un CMS compromesso. Una chiave API amministrativa rubata consente infatti modifiche massive, poisoning dei contenuti, persistenza indiretta e riuso della reputazione del dominio per attacchi contro visitatori finali.

ClickFix trasforma siti legittimi in vettori di infezione

Il loader JavaScript iniettato nei siti Ghost CMS compromessi agisce come primo stadio di una campagna ClickFix, tecnica che sfrutta l’ingegneria sociale per convincere l’utente a eseguire manualmente comandi malevoli. Il codice recupera payload da domini esterni come clo4shara[.]xyz e utilizza tecniche di cloaking con Adspect per mostrare contenuti diversi in base al profilo del visitatore, dell’ambiente e dei sistemi di analisi. Le vittime vengono reindirizzate verso una falsa pagina CAPTCHA caricata in iframe, costruita per apparire come una verifica ordinaria. Il sito induce poi l’utente a copiare un comando Base64 nel dialogo Esegui di Windows, sfruttando la percezione di normalità della procedura e il fatto che molti utenti associano i CAPTCHA a passaggi legittimi di sicurezza. Lo script batch scarica e avvia una DLL o un payload JavaScript che installa un client PuTTY modificato oppure un installer Electron malevolo. Il malware comunica ogni 30 secondi con server remoti come web-telegram[.]ug per ricevere istruzioni operative. La campagna risulta coordinata da almeno due cluster di threat actor e, in alcune giornate, decine di siti vengono infettati in rapida successione. La forza di ClickFix sta nella combinazione tra sito attendibile, istruzione apparentemente semplice e responsabilità spostata sull’utente, che diventa esecutore involontario del comando. Per gli amministratori di Ghost CMS, la risposta deve essere immediata: aggiornamento alla versione 6.19.1 o successiva, rotazione di tutte le chiavi e credenziali, pulizia dei contenuti modificati, revisione dei log di accesso e avviso agli utenti che hanno visitato il sito nel periodo di contaminazione.

Windows Server 2016 e il bug KB5087537 sulla ricerca dei Domain Controller

Accanto agli exploit attivi su KnowledgeDeliver e Ghost CMS, Microsoft segnala un problema operativo su Windows Server 2016 dopo l’installazione dell’aggiornamento di sicurezza KB5087537 di maggio 2026. Il bug riguarda sistemi con hostname esattamente di 15 caratteri e provoca il fallimento della lookup del Domain Controller. Comandi come nltest /dsgetdc: restituiscono ERROR_INVALID_PARAMETER, impedendo a strumenti amministrativi e script di automazione di localizzare correttamente i controller di dominio. L’impatto può essere rilevante in ambienti enterprise che dipendono da Active Directory, DFS Namespace, processi di gestione centralizzata e workflow automatizzati. La regressione riguarda la logica di DCLocator e colpisce una piattaforma ancora coperta da supporto esteso, ma già in una fase del ciclo di vita in cui le organizzazioni dovrebbero pianificare migrazioni verso versioni più recenti. Microsoft ha confermato il known issue, ma non ha ancora fornito una data di risoluzione o un workaround ufficiale. Gli amministratori devono verificare la lunghezza degli hostname, monitorare i log di sistema, testare manualmente la lookup dei Domain Controller e valutare con attenzione l’impatto della patch in ambienti dove Windows Server 2016 resta ancora componente centrale. Il caso ricorda che anche gli aggiornamenti di sicurezza possono introdurre regressioni operative e che la gestione patch deve includere test, rollback plan e monitoraggio post-deployment, soprattutto su piattaforme legacy.

Mitigazioni urgenti per KnowledgeDeliver, Ghost CMS e ambienti Microsoft

Le organizzazioni esposte a KnowledgeDeliver devono ruotare immediatamente le machineKey generando segreti unici, casuali e crittograficamente forti per ogni istanza, evitando qualsiasi riuso tra ambienti diversi. Occorre applicare le patch del vendor, limitare l’accesso all’LMS a IP noti quando possibile, verificare la presenza di web shell Godzilla o BLUEBEAM, cercare file sospetti come LoadLibrary.dll, analizzare modifiche ai file .js, controllare permessi anomali impostati con icacls e monitorare processi figli di w3wp.exe. Gli eventi ASP.NET 1316 devono essere trattati come indicatori prioritari quando associati a messaggi di ViewState non valido o verifica fallita. Per Ghost CMS, la priorità è aggiornare alla versione 6.19.1 o successiva, ruotare le chiavi Admin API, invalidare credenziali potenzialmente esposte, rimuovere loader JavaScript iniettati, verificare modifiche massive agli articoli e auditare i log per individuare accessi anomali al Content API e al Ghost Admin API. I siti compromessi devono avvisare i visitatori potenzialmente esposti a campagne ClickFix, soprattutto se hanno visualizzato false pagine CAPTCHA o copiato comandi nel dialogo Esegui di Windows. Per Windows Server 2016, gli amministratori devono identificare host con nome esattamente di 15 caratteri, testare la discovery dei Domain Controller con nltest, monitorare errori ERROR_INVALID_PARAMETER e preparare piani di mitigazione fino alla pubblicazione di un fix ufficiale. In tutti e tre gli scenari, il punto operativo resta lo stesso: patching rapido, riduzione dell’esposizione internet, rotazione dei segreti, logging centralizzato e threat hunting mirato riducono drasticamente la finestra utile agli attaccanti.

Configurazioni di default, patch lente e social engineering amplificano il rischio

Le campagne contro KnowledgeDeliver e Ghost CMS mostrano come vulnerabilità apparentemente diverse possano produrre lo stesso effetto strategico: trasformare piattaforme web legittime in punti di accesso o vettori di infezione. Nel caso dell’LMS giapponese, la criticità nasce da machineKey condivise e da una deserializzazione ViewState sfruttabile per RCE non autenticata. Nel caso del CMS, una SQL injection nel Content API consente il furto della chiave amministrativa e il poisoning di massa dei contenuti. In entrambi i casi, la patch era già disponibile da febbraio 2026, ma l’adozione lenta ha lasciato spazio a exploit attivi, web shell, loader malevoli e campagne di ingegneria sociale. Il bug di Windows Server 2016 aggiunge un terzo elemento: la fragilità degli ambienti legacy quando un aggiornamento di sicurezza introduce una regressione in funzioni core come la discovery dei Domain Controller. Gli attaccanti combinano oggi exploit recenti, configurazioni insicure, uso di tool come Cobalt Strike, tecniche in-memory, cloaking e ClickFix per spostarsi dal server all’utente finale. La difesa richiede quindi un modello integrato, in cui sicurezza applicativa, gestione delle chiavi, controllo delle API, hardening dei CMS, monitoraggio dei processi e formazione degli utenti non siano attività separate ma parti della stessa strategia. La superficie web resta uno dei punti più esposti perché un singolo componente non aggiornato può diventare infrastruttura di distribuzione malware, canale di furto dati o porta d’ingresso verso reti interne.