Weaver E-cology 关键漏洞自三月起被用于攻击

Source: Bleeping Computer

概览

自三月中旬起，黑客一直在利用 Weaver E‑cology 办公自动化平台中的关键漏洞 (CVE‑2026‑22679) 来执行发现命令。攻击在厂商发布安全更新以修复该问题五天后便开始，并且在漏洞公开披露前两周就已展开。

威胁情报公司 Vega 的研究人员记录了这些恶意活动，并报告称攻击大约持续了一周，每次攻击都有多个不同阶段。

Weaver E‑cology 是一款企业办公自动化（OA）和协作平台，提供工作流、文档管理、人力资源以及内部业务流程等功能。该产品 主要被中国组织使用（https://ti.qianxin.com/vulnerability/notice-detail/1760）。

漏洞概述

• CVE‑2026‑22679 – 影响 2026 年 3 月 12 日之前的 E‑cology 10.0 版本的关键未授权远程代码执行（RCE）漏洞。
• 根本原因： 一个暴露的调试 API 端点将用户提供的参数直接转发至后端远程过程调用（RPC）功能，且没有进行身份验证或输入验证。
• 影响： 攻击者可以提供精心构造的值，这些值会在服务器上作为系统命令执行，从而将该端点变成远程命令执行接口。

攻击时间线

活动时间线 – 来源：Vega

• 初始侦察 – 攻击者从 Java 进程触发 ping 命令到 Goby 关联的回调，以验证 RCE 能力。
• 载荷尝试 – 多次尝试下载基于 PowerShell 的载荷，但被端点防御拦截。
• MSI 部署 – 交付了一个针对目标的 MSI 安装程序 (fanwei0324.msi)，但未能执行；未观察到后续活动。
• 无文件 PowerShell – 攻击者回到 RCE 端点，使用混淆的无文件 PowerShell 反复获取远程脚本。
• 系统枚举 – 在所有阶段中，均执行了 whoami、ipconfig、tasklist 等命令。

Vega 指出，尽管存在 RCE 机会，攻击者从未在目标主机上建立持久会话。

缓解措施与建议

• Weaver E‑cology 10.0 用户应 尽快通过厂商网站应用安全更新： Security Update (build 20260312)。
• 厂商修复（build 20260312） 完全移除了调试端点，消除了攻击面。
• 官方公告中未列出其他缓解措施或变通方案；升级是唯一推荐的操作。

“我们观察到的每个攻击者进程都是由 java.exe（Weaver 的 Tomcat 捆绑的 Java 虚拟机）生成的，且没有任何前置身份验证，”Vega 解释道。“厂商的修复完全移除了调试端点。” – Vega 博客文章