Des hackers exploitent une vulnérabilité critique (**CVE-2026-22679**) dans la plateforme d'automatisation de bureau **Weaver E-cology** depuis la mi-mars pour exécuter des commandes de découverte. Les attaques ont débuté à peine cinq jours après que le fournisseur de logiciels ait publié une mise à jour de sécurité pour corriger le problème, et deux semaines avant la divulgation publique de la vulnérabilité. **Vega**, une société d'intelligence sur les menaces, a documenté l'activité malveillante, rapportant que les attaques s'étendaient sur environ une semaine, chacune comprenant plusieurs phases distinctes. **Weaver E-cology** est une plateforme d'automatisation de bureau (OA) et de collaboration d'entreprise utilisée pour gérer les flux de travail, les documents, les processus RH et les opérations commerciales internes. La plateforme est principalement utilisée par les organisations chinoises. ## CVE-2026-22679 : Une analyse approfondie **CVE-2026-22679** représente une faille critique d'exécution de code à distance (RCE) non authentifiée affectant les versions d'**E-cology** 10.0 antérieures au 12 mars. La cause profonde de la vulnérabilité réside dans un point d'accès API de débogage exposé. Ce point d'accès permet de manière inappropriée aux paramètres fournis par l'utilisateur d'interagir avec la fonctionnalité de Remote Procedure Call (RPC) du backend, contournant ainsi les mécanismes d'authentification et de validation des entrées. Cette négligence permet aux attaquants d'injecter des valeurs spécialement conçues qui sont ensuite exécutées comme commandes système sur le serveur, transformant efficacement le point d'accès en une interface d'exécution de commandes à distance. ## Analyse des attaques Selon l'analyse de **Vega**, les attaquants ont initialement testé les capacités d'exécution de code à distance (RCE) en déclenchant des commandes ping depuis le processus Java vers un rappel lié à Goby. Suite à cela, ils ont tenté de télécharger plusieurs payloads basés sur PowerShell. Cependant, ces tentatives ont été contrecarrées par les défenses du point d'accès. Par la suite, les attaquants ont tenté de déployer un installateur MSI adapté à la cible (`fanwei0324.msi`). Cette tentative a également échoué, et aucune autre activité n'a été observée concernant cette approche. Après ces tentatives infructueuses, les attaquants sont revenus à l'exploitation du point d'accès RCE. Ils ont utilisé des scripts PowerShell obfusqués et sans fichier pour récupérer à plusieurs reprises des scripts distants. Tout au long de toutes les phases de l'attaque, les acteurs de la menace ont systématiquement exécuté des commandes de reconnaissance, notamment `whoami`, `ipconfig` et `tasklist`.  **Vega** souligne que, bien qu'ayant eu la possibilité d'exécuter du code arbitraire via **CVE-2026-22679**, les attaquants n'ont pas établi de session persistante sur l'hôte ciblé. ## Mitigation Il est fortement conseillé aux utilisateurs de **Weaver E-cology** 10.0 d'appliquer les mises à jour de sécurité disponibles sur le site web du fournisseur dès que possible. « Chaque processus d'attaquant que nous avons observé est parenté par `java.exe` (**la machine virtuelle Java groupée avec Tomcat de Weaver**), sans authentification préalable », a expliqué **Vega**, ajoutant que « le correctif du fournisseur (build 20260312) supprime entièrement le point d'accès de débogage ». Aucune autre mesure de mitigation ou contournement n'est fournie dans le bulletin officiel ; par conséquent, la mise à niveau vers la dernière version corrigée est la seule action recommandée. <div> <h2>99% de ce que Mythos a trouvé n'est toujours pas corrigé.</h2> <p>L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive.</p> <p>Au Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle le cycle de remédiation.</p> Réclamez votre place </div>