⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers têm explorado uma vulnerabilidade crítica (CVE-2026-22679) na automação de escritório Weaver E-cology desde meados de março para executar comandos de descoberta.
Os ataques começaram cinco dias depois que o fornecedor do software lançou uma atualização de segurança para resolver o problema e duas semanas antes de divulgá-la publicamente.
Pesquisadores da empresa de inteligência de ameaças Vega documentaram a atividade maliciosa e relataram que os ataques duraram cerca de uma semana, cada um com várias fases distintas.
Weaver E-cology é uma plataforma corporativa de automação de escritório (OA) e colaboração usada para fluxos de trabalho, gerenciamento de documentos, RH e processos de negócios internos. O produto é usado principalmente por organizações chinesas.
CVE-2026-22679 é uma falha crítica de execução remota de código não autenticado que afeta compilações do E-cology 10.0 anteriores a 12 de março.
A falha é causada por um endpoint de API de depuração exposto que permite indevidamente que parâmetros fornecidos pelo usuário alcancem a funcionalidade de chamada de procedimento remoto (RPC) de back-end sem autenticação ou validação de entrada.
Isso permite que os invasores passem valores criados que são executados como comandos do sistema no servidor, transformando efetivamente o endpoint em uma interface de execução remota de comandos.
De acordo com Vega, os invasores primeiro verificaram os recursos de execução remota de código (RCE), acionando comandos de ping do processo Java para um retorno de chamada vinculado ao Goby e, em seguida, procederam a vários downloads de carga útil baseados no PowerShell. No entanto, todos estes foram bloqueados pelas defesas dos endpoints.
Em seguida, eles tentaram implantar um instalador MSI com reconhecimento de alvo (fanwei0324.msi), mas ele não foi executado corretamente e nenhuma atividade de acompanhamento foi observada.
Após essas tentativas fracassadas, os invasores reverteram para o endpoint RCE, usando o PowerShell ofuscado e sem arquivo para buscar scripts remotos repetidamente.
Ao longo de todas as fases do ataque, os agentes da ameaça executaram comandos de reconhecimento, como whoami, ipconfig e tasklist.
Cronograma de atividadesFonte: Vega
Vega explica que embora os invasores tenham tido a oportunidade RCE ao explorar o CVE-2026-22679, eles nunca estabeleceram uma sessão persistente no host visado.
Recomenda-se que os usuários do Weaver E-cology 10.0 apliquem as atualizações de segurança disponíveis no site do fornecedor o mais rápido possível.
“Cada processo invasor que observamos é pai de java.exe (Java Virtual Machine integrado ao Tomcat da Weaver), sem autenticação anterior”, explicou Vega, acrescentando que “a correção do fornecedor (compilação 20260312) remove totalmente o endpoint de depuração”.
Nenhuma mitigação alternativa ou solução alternativa está listada no boletim oficial, portanto a atualização é a única recomendação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Os ataques começaram cinco dias depois que o fornecedor do software lançou uma atualização de segurança para resolver o problema e duas semanas antes de divulgá-la publicamente.
Pesquisadores da empresa de inteligência de ameaças Vega documentaram a atividade maliciosa e relataram que os ataques duraram cerca de uma semana, cada um com várias fases distintas.
Weaver E-cology é uma plataforma corporativa de automação de escritório (OA) e colaboração usada para fluxos de trabalho, gerenciamento de documentos, RH e processos de negócios internos. O produto é usado principalmente por organizações chinesas.
CVE-2026-22679 é uma falha crítica de execução remota de código não autenticado que afeta compilações do E-cology 10.0 anteriores a 12 de março.
A falha é causada por um endpoint de API de depuração exposto que permite indevidamente que parâmetros fornecidos pelo usuário alcancem a funcionalidade de chamada de procedimento remoto (RPC) de back-end sem autenticação ou validação de entrada.
Isso permite que os invasores passem valores criados que são executados como comandos do sistema no servidor, transformando efetivamente o endpoint em uma interface de execução remota de comandos.
De acordo com Vega, os invasores primeiro verificaram os recursos de execução remota de código (RCE), acionando comandos de ping do processo Java para um retorno de chamada vinculado ao Goby e, em seguida, procederam a vários downloads de carga útil baseados no PowerShell. No entanto, todos estes foram bloqueados pelas defesas dos endpoints.
Em seguida, eles tentaram implantar um instalador MSI com reconhecimento de alvo (fanwei0324.msi), mas ele não foi executado corretamente e nenhuma atividade de acompanhamento foi observada.
Após essas tentativas fracassadas, os invasores reverteram para o endpoint RCE, usando o PowerShell ofuscado e sem arquivo para buscar scripts remotos repetidamente.
Ao longo de todas as fases do ataque, os agentes da ameaça executaram comandos de reconhecimento, como whoami, ipconfig e tasklist.
Cronograma de atividadesFonte: Vega
Vega explica que embora os invasores tenham tido a oportunidade RCE ao explorar o CVE-2026-22679, eles nunca estabeleceram uma sessão persistente no host visado.
Recomenda-se que os usuários do Weaver E-cology 10.0 apliquem as atualizações de segurança disponíveis no site do fornecedor o mais rápido possível.
“Cada processo invasor que observamos é pai de java.exe (Java Virtual Machine integrado ao Tomcat da Weaver), sem autenticação anterior”, explicou Vega, acrescentando que “a correção do fornecedor (compilação 20260312) remove totalmente o endpoint de depuração”.
Nenhuma mitigação alternativa ou solução alternativa está listada no boletim oficial, portanto a atualização é a única recomendação.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #bug #crítico #do #weaver #ecology #explorado #em #ataques #desde #março
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário