Angriffe auf kritische Lücke in Weaver E-cology seit Mitte März

Zusammenfassung

Angreifer nutzen seit Mitte März eine kritische Schwachstelle in der Büroautomatisierungs-Plattform Weaver E-cology aus, um Erkundungsbefehle auf betroffenen Servern auszuführen. Die Lücke wird als CVE-2026-22679 geführt und betrifft Versionen von E-cology 10.0 vor dem Build vom 12. März. Bemerkenswert ist der zeitliche Ablauf: Die Angriffe begannen fünf Tage, nachdem der Hersteller ein Sicherheitsupdate veröffentlicht hatte, und zwei Wochen bevor die Schwachstelle öffentlich bekannt gemacht wurde. Dokumentiert wurde die Aktivität von Forschern des Threat-Intelligence-Unternehmens Vega, das von einer rund einwöchigen Angriffswelle mit mehreren unterschiedlichen Phasen berichtet. Weaver E-cology ist eine Plattform für Büroautomatisierung und Zusammenarbeit, die für Workflows, Dokumentenverwaltung, Personalprozesse und interne Geschäftsabläufe eingesetzt wird und vor allem von chinesischen Organisationen genutzt wird. Bei CVE-2026-22679 handelt es sich um eine kritische, nicht authentifizierte Schwachstelle zur Remote-Code-Ausführung. Trotz der vollständigen Kontrollmöglichkeit über den Server gelang es den Angreifern laut Vega zu keinem Zeitpunkt, eine dauerhafte Sitzung auf den Zielsystemen einzurichten.

Ursache der Schwachstelle ist ein offen zugänglicher Debug-API-Endpunkt. Dieser leitet vom Nutzer übergebene Parameter unzulässigerweise an die im Hintergrund laufende RPC-Funktionalität (Remote Procedure Call) weiter – ohne Authentifizierung und ohne Eingabeprüfung. Dadurch können Angreifer manipulierte Werte einschleusen, die letztlich als Systembefehle auf dem Server ausgeführt werden. Der Endpunkt wird so faktisch zu einer Schnittstelle für die Ausführung beliebiger Befehle aus der Ferne.

Nach den Beobachtungen von Vega prüften die Angreifer zunächst, ob eine Remote-Code-Ausführung möglich war: Sie lösten aus dem Java-Prozess heraus Ping-Befehle an einen mit Goby verknüpften Rückrufpunkt aus und versuchten anschließend mehrfach, über PowerShell Schadcode nachzuladen. Diese Versuche wurden jedoch sämtlich von den Endpunkt-Schutzmechanismen blockiert.

Im nächsten Schritt versuchten die Angreifer, einen auf das Ziel zugeschnittenen MSI-Installer (fanwei0324.msi) auszubringen. Dieser ließ sich jedoch nicht ordnungsgemäß ausführen, weitere Aktivität war hier nicht zu beobachten. Nach den gescheiterten Versuchen kehrten die Täter zum RCE-Endpunkt zurück und nutzten verschleierte, dateilose PowerShell-Befehle, um wiederholt entfernte Skripte abzurufen.

Über alle Phasen hinweg führten die Angreifer Erkundungsbefehle wie whoami, ipconfig und tasklist aus. Obwohl ihnen durch die Ausnutzung von CVE-2026-22679 die Möglichkeit zur Remote-Code-Ausführung offenstand, richteten sie nach Angaben von Vega zu keinem Zeitpunkt eine dauerhafte Sitzung auf den betroffenen Hosts ein.

Vega verweist zudem auf ein charakteristisches Muster: „Jeder von uns beobachtete Angreiferprozess hat java.exe als übergeordneten Prozess – das ist die in Weavers Tomcat eingebettete Java Virtual Machine – und das ohne vorausgehende Authentifizierung.“ Die Hersteller-Korrektur im Build 20260312 entferne den Debug-Endpunkt vollständig.

Nutzern von Weaver E-cology 10.0 wird empfohlen, die über die Website des Herstellers verfügbaren Sicherheitsupdates so bald wie möglich einzuspielen. Das offizielle Hinweisdokument nennt keine alternativen Gegenmaßnahmen oder Behelfslösungen, sodass das Einspielen des Updates die einzige Empfehlung bleibt.

Angriffe auf kritische Lücke in Weaver E-cology seit Mitte März

Ähnliche Artikel

Neueste Artikel