Hackers têm explorado uma vulnerabilidade crítica (**CVE-2026-22679**) na plataforma de automação de escritório **Weaver E-cology** desde meados de março para executar comandos de descoberta. Os ataques começaram apenas cinco dias após o fornecedor do software lançar uma atualização de segurança para corrigir o problema, e duas semanas antes de divulgar publicamente a vulnerabilidade. A **Vega**, uma empresa de inteligência de ameaças, documentou a atividade maliciosa, relatando que os ataques abrangeram aproximadamente uma semana, cada um compreendendo várias fases distintas. **Weaver E-cology** é uma plataforma de automação de escritório (OA) e colaboração empresarial utilizada para gerenciar fluxos de trabalho, documentos, processos de RH e operações de negócios internas. A plataforma é utilizada principalmente por organizações chinesas. ## CVE-2026-22679: Uma Análise Profunda **CVE-2026-22679** representa uma falha crítica de execução remota de código não autenticada afetando as compilações do **E-cology** 10.0 anteriores a 12 de março. A causa raiz da vulnerabilidade reside em um endpoint de API de depuração exposto. Este endpoint permite indevidamente que parâmetros fornecidos pelo usuário interajam com a funcionalidade de Chamada de Procedimento Remoto (RPC) do backend, contornando os mecanismos de autenticação e validação de entrada. Essa falha permite que atacantes injetem valores elaborados que são subsequentemente executados como comandos do sistema no servidor, transformando efetivamente o endpoint em uma interface de execução remota de comandos. ## Análise de Ataque De acordo com a análise da **Vega**, os atacantes inicialmente testaram as capacidades de execução remota de código (RCE) acionando comandos de ping do processo Java para um callback vinculado ao Goby. Após isso, eles tentaram baixar vários payloads baseados em PowerShell. No entanto, essas tentativas foram frustradas pelas defesas do endpoint. Subsequentemente, os atacantes tentaram implantar um instalador MSI ciente do alvo (`fanwei0324.msi`). Essa tentativa também falhou, e nenhuma atividade adicional foi observada relacionada a essa abordagem. Após essas tentativas malsucedidas, os atacantes voltaram a explorar o endpoint de RCE. Eles empregaram scripts PowerShell ofuscados e sem arquivos para buscar repetidamente scripts remotos. Ao longo de todas as fases do ataque, os atores de ameaça executaram consistentemente comandos de reconhecimento, incluindo `whoami`, `ipconfig` e `tasklist`.  A **Vega** enfatiza que, apesar de terem a oportunidade de executar código arbitrário via **CVE-2026-22679**, os atacantes não estabeleceram uma sessão persistente no host alvo. ## Mitigação Usuários do **Weaver E-cology** 10.0 são fortemente aconselhados a aplicar as atualizações de segurança disponíveis no site do fornecedor o mais rápido possível. "Todo processo de ataque que observamos é originado pelo `java.exe` (a Máquina Virtual Java empacotada pelo Tomcat do **Weaver**), sem autenticação prévia", explicou a **Vega**, acrescentando que "a correção do fornecedor (build 20260312) remove completamente o endpoint de depuração". Nenhuma mitigação ou workaround alternativa é fornecida no boletim oficial; portanto, a atualização para a versão corrigida mais recente é o único curso de ação recomendado. <div> <h2>99% do que a Mythos encontrou ainda não foi corrigido.</h2> <p>A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novos exploits está chegando.</p> <p>Na Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação.</p> Reivindique Seu Lugar </div>