- 26,508
- 46
- 8 Ноя 2022
Злоумышленники начали действовать задолго до того, как о проблеме объявили официально.
Хакеры начали использовать критическую брешь в Weaver E-cology всего через несколько дней после выхода исправления. Атаки шли скрытно и не выглядели как массовая кампания, но сценарий показывает, как быстро злоумышленники проверяют корпоративные системы на свежие слабые места.
Речь идёт о CVE-2026-22679 — ошибке удалённого выполнения кода в Weaver E-cology 10.0 в сборках до 12 марта 2026 года. Платформа широко используется для офисной автоматизации, документооборота, HR-процессов и внутренних рабочих сценариев многих организаций.
Компания Weaver выпустила исправление 12 марта, но публично раскрыла детали позже. По данным команды Vega, первые атаки начались примерно через пять дней после выхода обновления и за две недели до официального уведомления. Активность длилась около недели и проходила в несколько этапов.
Проблема была связана с открытым отладочным API. Такой интерфейс без авторизации пропускал пользовательские параметры к серверным RPC-функциям и не проверял ввод. В результате злоумышленники могли передавать специально подготовленные значения, которые сервер выполнял как системные команды. Схожий вектор — отсутствие проверки входных данных без предварительной авторизации — использовался в октябре 2025 года при атаках на устройства WatchGuard.
Сначала атакующие проверяли возможность удалённого выполнения кода через команды ping из Java-процесса к callback-адресу, связанному с Goby. Затем последовали попытки загрузить PowerShell-сценарии, но средства защиты конечных устройств заблокировали эти действия.
После неудачных загрузок злоумышленники попробовали запустить MSI-установщик «fanwei0324.msi», подобранный под конкретную цель. Файл не сработал корректно, и дальнейшей активности через этот путь специалисты Vega не увидели.
Позже атакующие снова вернулись к уязвимому RCE-интерфейсу и применили обфусцированный PowerShell без записи файлов на диск, чтобы повторно получать удалённые сценарии. На всех этапах запускались команды разведки, включая whoami, ipconfig и tasklist.
Vega уточняет, что все замеченные процессы запускались от «java.exe», то есть от Java-машины, встроенной в Tomcat в составе Weaver. Признаков предварительной авторизации не было. Несмотря на возможность выполнить код, злоумышленники не закрепились на атакованном хосте и не создали устойчивую сессию.
В официальном бюллетене не указаны обходные меры. Пользователям Weaver E-cology 10.0 рекомендуют как можно быстрее установить актуальную сборку, поскольку версия 20260312 полностью удаляет опасный отладочный интерфейс.
Хакеры начали использовать критическую брешь в Weaver E-cology всего через несколько дней после выхода исправления. Атаки шли скрытно и не выглядели как массовая кампания, но сценарий показывает, как быстро злоумышленники проверяют корпоративные системы на свежие слабые места.
Речь идёт о CVE-2026-22679 — ошибке удалённого выполнения кода в Weaver E-cology 10.0 в сборках до 12 марта 2026 года. Платформа широко используется для офисной автоматизации, документооборота, HR-процессов и внутренних рабочих сценариев многих организаций.
Компания Weaver выпустила исправление 12 марта, но публично раскрыла детали позже. По данным команды Vega, первые атаки начались примерно через пять дней после выхода обновления и за две недели до официального уведомления. Активность длилась около недели и проходила в несколько этапов.
Проблема была связана с открытым отладочным API. Такой интерфейс без авторизации пропускал пользовательские параметры к серверным RPC-функциям и не проверял ввод. В результате злоумышленники могли передавать специально подготовленные значения, которые сервер выполнял как системные команды. Схожий вектор — отсутствие проверки входных данных без предварительной авторизации — использовался в октябре 2025 года при атаках на устройства WatchGuard.
Сначала атакующие проверяли возможность удалённого выполнения кода через команды ping из Java-процесса к callback-адресу, связанному с Goby. Затем последовали попытки загрузить PowerShell-сценарии, но средства защиты конечных устройств заблокировали эти действия.
После неудачных загрузок злоумышленники попробовали запустить MSI-установщик «fanwei0324.msi», подобранный под конкретную цель. Файл не сработал корректно, и дальнейшей активности через этот путь специалисты Vega не увидели.
Позже атакующие снова вернулись к уязвимому RCE-интерфейсу и применили обфусцированный PowerShell без записи файлов на диск, чтобы повторно получать удалённые сценарии. На всех этапах запускались команды разведки, включая whoami, ipconfig и tasklist.
Vega уточняет, что все замеченные процессы запускались от «java.exe», то есть от Java-машины, встроенной в Tomcat в составе Weaver. Признаков предварительной авторизации не было. Несмотря на возможность выполнить код, злоумышленники не закрепились на атакованном хосте и не создали устойчивую сессию.
В официальном бюллетене не указаны обходные меры. Пользователям Weaver E-cology 10.0 рекомендуют как можно быстрее установить актуальную сборку, поскольку версия 20260312 полностью удаляет опасный отладочный интерфейс.
- Источник новости
- www.securitylab.ru
