2026-05-04 00:00
← VoltarOs hackers têm explorado uma vulnerabilidade crítica (CVE-2026-22679) na automação de escritório Weaver E-cology desde meados de março para executar comandos de descoberta. Os ataques começaram cinco dias depois que o fornecedor do software lançou uma atualização de segurança para resolver o problema e duas semanas antes de divulgá-la publicamente. Pesquisadores da empresa de inteligência de ameaças Vega documentaram a atividade maliciosa e relataram que os ataques duraram cerca de uma semana, cada um com várias fases distintas. Weaver E-cology é uma plataforma corporativa de automação de escritório (OA) e colaboração usada para fluxos de trabalho, gerenciamento de documentos, RH e processos de negócios internos. O produto é usado principalmente por organizações chinesas. CVE-2026-22679 é uma falha crítica de execução remota de código não autenticado que afeta compilações do E-cology 10.0 antes de 12 de março. A falha é causada por um endpoint de API de depuração exposto que permite indevidamente que parâmetros fornecidos pelo usuário alcancem a funcionalidade de chamada de procedimento remoto (RPC) de back-end sem autenticação ou validação de entrada. Isso permite que os invasores passem valores criados que são executados como comandos do sistema no servidor, transformando efetivamente o endpoint em uma interface de execução remota de comandos.
De acordo com Vega, os invasores primeiro verificaram os recursos de execução remota de código (RCE), acionando comandos de ping do...
Os hackers têm explorado uma vulnerabilidade crítica (CVE-2026-22679) na automação de escritório Weaver E-cology desde meados de março para executar comandos de descoberta. Os ataques começaram cinco dias depois que o fornecedor do software lançou uma atualização de segurança para resolver o problema e duas semanas antes de divulgá-la publicamente. Pesquisadores da empresa de inteligência de ameaças Vega documentaram a atividade maliciosa e relataram que os ataques duraram cerca de uma semana, cada um com várias fases distintas. Weaver E-cology é uma plataforma corporativa de automação de escritório (OA) e colaboração usada para fluxos de trabalho, gerenciamento de documentos, RH e processos de negócios internos. O produto é usado principalmente por organizações chinesas. CVE-2026-22679 é uma falha crítica de execução remota de código não autenticado que afeta compilações do E-cology 10.0 antes de 12 de março. A falha é causada por um endpoint de API de depuração exposto que permite indevidamente que parâmetros fornecidos pelo usuário alcancem a funcionalidade de chamada de procedimento remoto (RPC) de back-end sem autenticação ou validação de entrada. Isso permite que os invasores passem valores criados que são executados como comandos do sistema no servidor, transformando efetivamente o endpoint em uma interface de execução remota de comandos.
De acordo com Vega, os invasores primeiro verificaram os recursos de execução remota de código (RCE), acionando comandos de ping do processo Java para um retorno de chamada vinculado ao Goby e, em seguida, procederam a vários downloads de carga útil baseados no PowerShell. No entanto, todos estes foram bloqueados pelas defesas dos endpoints. Em seguida, eles tentaram implantar um instalador MSI com reconhecimento de alvo (fanwei0324.msi), mas ele não foi executado corretamente e nenhuma atividade de acompanhamento foi observada. Após essas tentativas fracassadas, os invasores reverteram para o endpoint RCE, usando o PowerShell ofuscado e sem arquivo para buscar scripts remotos repetidamente. Ao longo de todas as fases do ataque, os agentes da ameaça executaram comandos de reconhecimento, como whoami, ipconfig e tasklist. Cronograma de atividades Fonte: Vega Vega explica que, embora os invasores tenham tido a oportunidade de RCE ao explorar o CVE-2026-22679, eles nunca estabeleceram uma sessão persistente no host visado. Recomenda-se que os usuários do Weaver E-cology 10.0 apliquem as atualizações de segurança disponíveis no site do fornecedor o mais rápido possível. “Cada processo invasor que observamos é pai de java.exe (Java Virtual Machine integrado ao Tomcat da Weaver), sem autenticação anterior”, explicou Vega, acrescentando que “a correção do fornecedor (compilação 20260312) remove totalmente o endpoint de depuração”.
Nenhuma mitigação alternativa ou solução alternativa está listada no boletim oficial, portanto a atualização é a única recomendação.