ハッカーは、3月中旬からWeaver E-cologyオフィスオートメーションの重大な脆弱性(CVE-2026-22679)を悪用し、発見コマンドを実行している。
この攻撃は、ソフトウェア・ベンダーがこの問題に対処するためのセキュリティ・アップデートをリリースした5日後、そしてこの問題を公表する2週間前に開始された。
脅威インテリジェンス企業Vegaの研究者は、悪意のある活動を記録し、攻撃はおよそ1週間続き、それぞれいくつかの明確な段階があったと報告しています。
Weaver E-cologyは、ワークフロー、文書管理、人事、社内業務プロセスに使用されるエンタープライズ・オフィス・オートメーション(OA)およびコラボレーション・プラットフォームである。この製品は主に中国の組織で使用されている。
CVE-2026-22679 は、3月12日以前の E-cology 10.0 ビルドに影響する、認証されていないリモートコード実行の重大な欠陥です。
この欠陥は、公開されているデバッグ API エンドポイントに起因しており、認証や入力検証を行うことなく、ユーザーから提供されたパラメータがバックエンドのリモートプロシージャコール (RPC) 機能に到達することを不適切に許可します。
これにより攻撃者は、最終的にサーバー上のシステム・コマンドとして実行される細工した値を渡すことができ、事実上エンドポイントをリモート・コマンド実行インターフェースに変えてしまう。
Vega 氏によると、攻撃者はまず Java プロセスから Goby にリンクされたコールバックへの ping コマンドをトリガーしてリモート・コード実行(RCE)機能をチェックし、その後複数の PowerShell ベースのペイロードダウンロードに進んだ。しかし、これらはすべてエンドポイント防御によってブロックされた。
次に、ターゲットを意識した MSI インストーラ(fanwei0324.msi)のデプロイを試みましたが、これは適切に実行されず、後続のアクティビティは観察されませんでした。
これらの試みが失敗した後、攻撃者はRCEエンドポイントに戻り、難読化されたファイルなしのPowerShellを使用して、リモートスクリプトを繰り返しフェッチしました。
すべての攻撃フェーズを通じて、攻撃者はwhoami、ipconfig、tasklistなどの偵察コマンドを実行しました。
Vega
Vegaは、攻撃者はCVE-2026-22679を悪用してRCEの機会を得たものの、標的となったホスト上で持続的セッションを確立することはなかったと説明しています。
Weaver E-cology 10.0のユーザーは、ベンダーのサイトから入手可能なセキュリティ・アップデートをできるだけ早く適用することが推奨される。
「私たちが観測したすべての攻撃者プロセスは、java.exe(WeaverのTomcatにバンドルされたJava仮想マシン)が親プロセスとなっており、事前の認証は行われていません」とVega氏は説明し、「ベンダーの修正プログラム(ビルド20260312)は、デバッグエンドポイントを完全に削除しています」と付け加えた。
公式の報告書には、代替の緩和策や回避策は記載されていないため、アップグレードを推奨するのみである。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments