ハッカーは3月中旬から、Weaver E-cologyオフィス自動化プラットフォームの重大な脆弱性（CVE-2026-22679）を悪用し、発見コマンドを実行しています。 攻撃は、ソフトウェアベンダーがこの問題に対処するためのセキュリティアップデートをリリースしてからわずか5日後、脆弱性が公に開示される2週間前に開始されました。 脅威インテリジェンス企業であるVegaは、悪意のある活動を文書化し、攻撃が約1週間にわたり、それぞれがいくつかの異なるフェーズで構成されていたと報告しています。 Weaver E-cologyは、ワークフロー、ドキュメント、人事プロセス、および内部ビジネスオペレーションの管理に使用されるエンタープライズオフィス自動化（OA）およびコラボレーションプラットフォームです。このプラットフォームは主に中国の組織で使用されています。 ## CVE-2026-22679：詳細分析 CVE-2026-22679は、2026年3月12日より前のE-cology 10.0ビルドに影響を与える、認証不要の重大なリモートコード実行の欠陥です。 脆弱性の根本原因は、公開されたデバッグAPIエンドポイントにあります。このエンドポイントは、認証と入力検証メカニズムの両方をバイパスして、ユーザー提供のパラメータがバックエンドのRemote Procedure Call（RPC）機能と対話することを不適切に許可します。 この見落としにより、攻撃者は細工された値を注入でき、それがサーバー上でシステムコマンドとして実行され、事実上エンドポイントをリモートコマンド実行インターフェースに変えます。 ## 攻撃分析 Vegaの分析によると、攻撃者は最初にJavaプロセスからGobyにリンクされたコールバックへのpingコマンドをトリガーして、リモートコード実行（RCE）機能をテストしました。その後、複数のPowerShellベースのペイロードをダウンロードしようとしました。しかし、これらの試みはエンドポイント防御によって阻止されました。 その後、攻撃者はターゲット認識型のMSIインストーラー（fanwei0324.msi）を展開しようとしました。この試みも失敗し、このアプローチに関連するさらなる活動は観察されませんでした。 これらの試みが失敗した後、攻撃者はRCEエンドポイントの悪用に回帰しました。難読化されたファイルレスPowerShellスクリプトを使用して、リモートスクリプトを繰り返し取得しました。 攻撃のすべてのフェーズを通じて、脅威アクターはwhoami、ipconfig、tasklistなどの偵察コマンドを一貫して実行しました。  Vegaは、CVE-2026-22679を介して任意のコードを実行する機会があったにもかかわらず、攻撃者はターゲットホストに永続的なセッションを確立しなかったことを強調しています。 ## 緩和策 Weaver E-cology 10.0のユーザーは、ベンダーのウェブサイトで入手可能なセキュリティアップデートをできるだけ早く適用することを強く推奨します。 Vegaは、「観察されたすべての攻撃者プロセスは、java.exe（WeaverのTomcatバンドルJava仮想マシン）によって親プロセスとされており、先行する認証はありませんでした」と説明し、「ベンダーの修正（ビルド20260312）はデバッグエンドポイントを完全に削除します」と付け加えています。 公式の勧告には代替の緩和策や回避策は提供されていません。したがって、最新のパッチ適用済みバージョンへのアップグレードが唯一推奨される対策です。 <div> <h2>Mythosが発見したものの99%はまだパッチが適用されていません。</h2> <p>AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ます。</p> <p>Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、管理が有効であることを証明し、修正ループを閉じるかをご覧ください。</p> あなたの席を確保する </div>