### Weaver E-cology RCE脆弱性が活発に悪用される エンタープライズオフィスオートメーション（OA）およびコラボレーションプラットフォームである**Weaver**（Fanwei）E-cologyにおける重大なセキュリティ脆弱性が、実世界で活発に悪用されるようになりました。 この脆弱性（**CVE-2026-22679**、CVSSスコア: 9.8）は、認証されていないリモートコード実行に関連しており、Weaver E-cology 10.0の20260312より前のバージョンに影響します。この問題は、`/papi/esearch/data/devops/dubboApi/debug/method`エンドポイントに存在し、攻撃者が公開されているデバッグ機能を利用して任意のコマンドを実行することを可能にします。 **NIST** National Vulnerability Database（NVD）によると、「攻撃者は、`interfaceName`および`methodName`パラメータを攻撃者が制御できるようにしたPOSTリクエストを作成することで、コマンド実行ヘルパーに到達し、システム上で任意のコマンド実行を達成できます。」 ### 初期のエクスプロイトと脅威アクターの活動 **Shadowserver Foundation**は、2026年3月31日に活発な悪用の最初の兆候を観測しました。**QiAnXin**が2026年3月17日に公開した同様のアラートは、中国のセキュリティベンダーがリモートコード実行脆弱性の再現に成功したことを明らかにしました。 しかし、**Vega Research Team**は、**CVE-2026-22679**の活発な悪用をさらに早期に特定しており、悪用の最も初期の証拠は、パッチがリリースされてから5日後の2026年3月17日まで遡ります。 セキュリティ研究者のDaniel Messing氏は、「侵入は、オペレーターの活動の約1週間にわたって展開されました。RCE検証、3回のペイロードドロップの失敗、MSIインプラントへのピボット試行（正常なインストールが得られず）、そして攻撃者が制御するインフラストラクチャからPowerShellペイロードを取得しようとする短い試行のバーストでした。」と述べています。 ### MSIインストーラーとディスカバリーコマンド イスラエルのサイバーセキュリティ企業によると、MSIインストーラーは「fanwei0324.msi」という名前を使用しており、**Weaver**のローマ字表記の中国語名を使用して悪意のあるペイロードを無害なものとして偽装しようとしたことを示唆しています。脅威アクターは、キャンペーン全体を通じて`whoami`、`ipconfig`、`tasklist`などのディスカバリーコマンドを実行していることも観測されています。 ### 検知と緩和策 セキュリティ研究者のKerem Oruc氏は、Pythonベースの検出スクリプトを提供しており、脆弱なAPIエンドポイントがアクセス可能かどうかを確認することで、脆弱な**Weaver** E-cologyインスタンスを特定できます。ユーザーは、保護のためにアップデートを適用することが推奨されます。