### Vulnérabilité RCE de Weaver E-cology activement exploitée Une vulnérabilité de sécurité critique dans **Weaver** (Fanwei) E-cology, une plateforme d'automatisation de bureau d'entreprise (OA) et de collaboration, fait l'objet d'une exploitation active dans la nature. La vulnérabilité (**CVE-2026-22679**, score CVSS : 9.8) concerne un cas d'exécution de code à distance non authentifiée affectant les versions de **Weaver** E-cology 10.0 antérieures à 20260312. Le problème réside dans le point de terminaison "/papi/esearch/data/devops/dubboApi/debug/method" qui permet à un attaquant d'exécuter des commandes arbitraires en invoquant une fonctionnalité de débogage exposée. Selon la base de données nationale des vulnérabilités (NVD) du **NIST**, "les attaquants peuvent créer des requêtes POST avec des paramètres interfaceName et methodName contrôlés par l'attaquant pour atteindre des assistants d'exécution de commandes et obtenir une exécution de commandes arbitraires sur le système." ### Exploitation précoce et activité des acteurs de la menace La **Shadowserver Foundation** a observé les premiers signes d'exploitation active le 31 mars 2026. Une alerte similaire publiée par **QiAnXin** le 17 mars 2026 a révélé que le fournisseur de sécurité chinois avait réussi à reproduire la vulnérabilité d'exécution de code à distance. Cependant, l'équipe de recherche **Vega Research Team** a identifié l'exploitation active de **CVE-2026-22679** beaucoup plus tôt, les premières preuves d'abus remontant au 17 mars 2026, cinq jours après la publication des correctifs. Le chercheur en sécurité Daniel Messing a déclaré : "L'intrusion s'est déroulée sur environ une semaine d'activité de l'opérateur : vérification RCE, trois tentatives de dépôt de payload échouées, une tentative de pivot vers un implant MSI qui n'a pas produit d'installation fonctionnelle, et une courte rafale de tentatives pour récupérer des payloads PowerShell depuis une infrastructure contrôlée par l'attaquant." ### Installateur MSI et commandes de découverte L'installateur MSI, selon la société israélienne de cybersécurité, utilisait le nom "fanwei0324.msi", indiquant une tentative de faire passer le payload malveillant pour inoffensif en utilisant le nom chinois romanisé de **Weaver**. L'acteur de la menace a également été observé exécutant des commandes de découverte, telles que `whoami`, `ipconfig` et `tasklist`, tout au long de la campagne. ### Détection et atténuation Le chercheur en sécurité Kerem Oruc a mis à disposition un script de détection basé sur Python qui identifie les instances **Weaver** E-cology vulnérables en vérifiant si le point de terminaison API susceptible est accessible. Il est conseillé aux utilisateurs d'appliquer les mises à jour pour rester protégés.