### Weaver E-cology RCE-Schwachstelle wird aktiv ausgenutzt Eine kritische Sicherheitslücke in **Weaver** (Fanwei) E-cology, einer Plattform für Unternehmens-Büroautomatisierung (OA) und Kollaboration, wird derzeit aktiv ausgenutzt. Die Schwachstelle (**CVE-2026-22679**, CVSS-Score: 9.8) betrifft die Ausführung von Remote-Code ohne Authentifizierung in **Weaver** E-cology Versionen vor 10.0 20260312. Das Problem liegt im Endpunkt "/papi/esearch/data/devops/dubboApi/debug/method", der es einem Angreifer ermöglicht, durch Aufruf der exponierten Debug-Funktionalität beliebige Befehle auszuführen. Laut der **NIST** National Vulnerability Database (NVD) "können Angreifer POST-Anfragen mit von Angreifern kontrollierten Parametern interfaceName und methodName erstellen, um Befehlsausführungshelfer zu erreichen und eine beliebige Befehlsausführung auf dem System zu erzielen." ### Frühe Ausnutzung und Aktivitäten von Bedrohungsakteuren Die **Shadowserver Foundation** beobachtete die ersten Anzeichen aktiver Ausnutzung am 31. März 2026. Eine ähnliche Warnung von **QiAnXin** vom 17. März 2026 ergab, dass der chinesische Sicherheitsanbieter die Remote Code Execution-Schwachstelle erfolgreich reproduzieren konnte. Das **Vega Research Team** identifizierte jedoch die aktive Ausnutzung von **CVE-2026-22679** deutlich früher, wobei die frühesten Beweise für Missbrauch vom 17. März 2026 stammen, fünf Tage nach der Veröffentlichung von Patches. Der Sicherheitsforscher Daniel Messing erklärte: "Der Einbruch entfaltete sich über etwa eine Woche mit Aktivitäten des Betreibers: RCE-Verifizierung, drei fehlgeschlagene Payload-Drops, ein versuchter Pivot zu einem MSI-Implantat, das keine funktionierende Installation hervorbrachte, und ein kurzer Ausbruch von Versuchen, PowerShell-Payloads von vom Angreifer kontrollierter Infrastruktur abzurufen." ### MSI-Installer und Discovery-Befehle Der MSI-Installer verwendete laut dem israelischen Cybersicherheitsunternehmen den Namen "fanwei0324.msi", was auf den Versuch hindeutet, die bösartige Payload als harmlos auszugeben, indem der romanisierte chinesische Name für **Weaver** verwendet wurde. Der Bedrohungsakteur wurde auch dabei beobachtet, Discovery-Befehle wie `whoami`, `ipconfig` und `tasklist` während der gesamten Kampagne auszuführen. ### Erkennung und Abhilfemaßnahmen Der Sicherheitsforscher Kerem Oruc hat ein Python-basiertes Erkennungsskript zur Verfügung gestellt, das anfällige **Weaver** E-cology-Instanzen identifiziert, indem es prüft, ob der anfällige API-Endpunkt zugänglich ist. Benutzern wird empfohlen, die Updates anzuwenden, um geschützt zu bleiben.