Weaver E-cology ranjivost zloupotrebljava se u napadima od marta
Napadači od sredine marta zloupotrebljavaju kritičnu ranjivost CVE-2026-22679 u Weaver E-cology platformi za kancelarijsku automatizaciju i saradnju. Propust pogađa E-cology 10.0 buildove pre 12. marta i omogućava neautentifikovano udaljeno izvršavanje komandi preko izloženog debug API endpointa. Prema istraživačima kompanije Vega, napadi su počeli pet dana nakon što je vendor objavio zakrpu, ali dve nedelje pre javnog otkrivanja ranjivosti. Napadači su proveravali RCE mogućnost ping komandama, pokušavali preuzimanje PowerShell payload-a i MSI instalera, a tokom više faza izvršavali izviđačke komande kao što su whoami, ipconfig i tasklist. Vega navodi da nije primećeno uspostavljanje trajne sesije na posmatranom hostu.
Ovaj slučaj dobro pokazuje koliko je kratak prozor između zakrpe i zloupotrebe, čak i pre nego što detalji ranjivosti postanu javni. Kada enterprise aplikacija ima izložen debug endpoint koji komande prosleđuje backend RPC funkcijama bez autentifikacije i validacije, napadaču je dovoljan jedan pogrešno ostavljen ulaz da server pretvori u komandni interfejs.
- Odmah ažurirati Weaver E-cology 10.0 na build 20260312 ili noviju verziju
- Proveriti da li je debug API endpoint uklonjen i da li postoje pokušaji pristupa tom endpointu u logovima
- Pregledati procese koje pokreće java.exe, posebno neuobičajene ping, PowerShell, whoami, ipconfig i tasklist komande
- Tražiti pokušaje preuzimanja udaljenih skripti, MSI fajlova i fileless PowerShell aktivnosti
- Ako je server bio ranjiv i izložen, tretirati ga kao potencijalno kompromitovan i proveriti kredencijale, web direktorijume, zakazane zadatke i persistence tragove