Hacker nutzen seit Mitte März eine kritische Schwachstelle (**CVE-2026-22679**) in der **Weaver E-cology** Office-Automatisierungsplattform aus, um Discovery-Befehle auszuführen. Die Angriffe begannen nur fünf Tage, nachdem der Softwareanbieter ein Sicherheitsupdate zur Behebung des Problems veröffentlicht hatte, und zwei Wochen vor der öffentlichen Offenlegung der Schwachstelle. **Vega**, ein Threat-Intelligence-Unternehmen, dokumentierte die bösartige Aktivität und berichtete, dass die Angriffe etwa eine Woche dauerten und jeweils mehrere verschiedene Phasen umfassten. **Weaver E-cology** ist eine Enterprise Office Automation (OA) und Kollaborationsplattform, die zur Verwaltung von Workflows, Dokumenten, HR-Prozessen und internen Geschäftsabläufen genutzt wird. Die Plattform wird hauptsächlich von chinesischen Organisationen verwendet. ## CVE-2026-22679: Eine detaillierte Analyse **CVE-2026-22679** stellt eine kritische, unauthentifizierte Remote Code Execution-Schwachstelle dar, die **E-cology** 10.0 Builds vor dem 12. März betrifft. Die Ursache der Schwachstelle liegt in einem exponierten Debug-API-Endpunkt. Dieser Endpunkt erlaubt es, benutzerdefinierte Parameter unsachgemäß mit der Backend Remote Procedure Call (RPC)-Funktionalität zu interagieren, wobei sowohl Authentifizierungs- als auch Eingabevalidierungsmechanismen umgangen werden. Diese Nachlässigkeit ermöglicht es Angreifern, präparierte Werte einzuschleusen, die anschließend als Systembefehle auf dem Server ausgeführt werden, wodurch der Endpunkt effektiv in eine Remote-Befehlsausführungsschnittstelle verwandelt wird. ## Angriffsanalyse Laut der Analyse von **Vega** testeten die Angreifer zunächst die Remote Code Execution (RCE)-Fähigkeiten, indem sie Ping-Befehle vom Java-Prozess zu einem Goby-verknüpften Callback auslösten. Danach versuchten sie, mehrere PowerShell-basierte Payloads herunterzuladen. Diese Versuche wurden jedoch von den Endpoint-Abwehrmaßnahmen vereitelt. Anschließend versuchten die Angreifer, einen zielgerichteten MSI-Installer (`fanwei0324.msi`) bereitzustellen. Dieser Versuch schlug ebenfalls fehl, und es wurden keine weiteren Aktivitäten im Zusammenhang mit diesem Ansatz beobachtet. Nach diesen erfolglosen Versuchen kehrten die Angreifer zur Ausnutzung des RCE-Endpunkts zurück. Sie verwendeten obfuskierte und dateilose PowerShell-Skripte, um wiederholt Remote-Skripte abzurufen. Während aller Angriffsphasen führten die Bedrohungsakteure konsequent Aufklärungsbefehle aus, darunter `whoami`, `ipconfig` und `tasklist`.  **Vega** betont, dass die Angreifer trotz der Möglichkeit, über **CVE-2026-22679** beliebigen Code auszuführen, keine persistente Sitzung auf dem Zielhost etabliert haben. ## Abhilfemaßnahmen Benutzern von **Weaver E-cology** 10.0 wird dringend empfohlen, die auf der Website des Anbieters verfügbaren Sicherheitsupdates so schnell wie möglich anzuwenden. "Jeder beobachtete Angreiferprozess wird von `java.exe` (der Tomcat-gebündelten Java Virtual Machine von **Weaver**) gestartet, ohne vorherige Authentifizierung", erklärte **Vega** und fügte hinzu: "Die Korrektur des Anbieters (Build 20260312) entfernt den Debug-Endpunkt vollständig." Es werden keine alternativen Abhilfemaßnahmen oder Workarounds im offiziellen Bulletin bereitgestellt; daher ist ein Upgrade auf die neueste gepatchte Version die einzig empfohlene Vorgehensweise. <div> <h2>99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht.</h2> <p>KI hat vier 0-Days zu einem einzigen Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor.</p> <p>Sehen Sie auf dem Autonomous Validation Summit (12. &amp; 14. Mai), wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen greifen, und den Remediation-Loop schließt.</p> Claim Your Spot </div>