Aktiv ausgenutzt: Kritische RCE-Lücke in Weaver E-cology über Debug-API

Zusammenfassung

In der Unternehmensplattform Weaver (Fanwei) E-cology, einer Software für Büroautomatisierung und Zusammenarbeit, wird eine kritische Sicherheitslücke aktiv ausgenutzt. Die als CVE-2026-22679 geführte Schwachstelle erreicht im CVSS-System einen Wert von 9,8 und ermöglicht nicht authentifizierte Remote Code Execution. Betroffen sind Versionen der Reihe E-cology 10.0 vor der Ausgabe 20260312. Die Schwäche steckt im Endpunkt „/papi/esearch/data/devops/dubboApi/debug/method", über den sich offengelegte Debug-Funktionen aufrufen lassen. Laut der Beschreibung in der NIST National Vulnerability Database (NVD) können Angreifer dafür POST-Anfragen mit selbst gewählten Parametern für „interfaceName" und „methodName" formen, um an Hilfsfunktionen zur Befehlsausführung zu gelangen und beliebige Kommandos auf dem System auszuführen. Die Shadowserver Foundation beobachtete laut NVD am 31. März 2026 die ersten Anzeichen einer aktiven Ausnutzung. Der chinesische Sicherheitsanbieter QiAnXin gab an, die Lücke in einer eigenen Warnung erfolgreich nachgestellt zu haben. Sicherheitsforscher raten dazu, die verfügbaren Updates einzuspielen, sofern noch nicht geschehen.

Die Schwachstelle liegt im Endpunkt „/papi/esearch/data/devops/dubboApi/debug/method", der eine offengelegte Debug-Funktionalität bereitstellt. Nach der Beschreibung in der NIST National Vulnerability Database (NVD) reichen präparierte POST-Anfragen mit angreiferkontrollierten Werten für „interfaceName" und „methodName" aus, um Hilfsfunktionen zur Befehlsausführung zu erreichen und beliebige Kommandos auszuführen. Eine Authentifizierung ist dafür nicht erforderlich, was den CVSS-Wert von 9,8 erklärt.

Mehrere Akteure haben sich mit der Lücke befasst. Die Shadowserver Foundation registrierte am 31. März 2026 die ersten Zeichen aktiver Ausnutzung. Der chinesische Anbieter QiAnXin erklärte in einer eigenen Warnung, die Remote Code Execution erfolgreich reproduziert zu haben.

Das Vega Research Team berichtete kürzlich ebenfalls von aktiver Ausnutzung und datierte die frühesten Belege für Missbrauch auf den 17. März 2026 — fünf Tage, nachdem Patches für die Lücke veröffentlicht worden waren. Nach Darstellung des israelischen Unternehmens zog sich der Vorfall über rund eine Woche operativer Aktivität hin.

Sicherheitsforscher Daniel Messing beschrieb den Ablauf: eine Überprüfung der Codeausführung, drei fehlgeschlagene Versuche, Schadcode abzulegen, ein gescheiterter Wechsel zu einem MSI-Implantat, das keine funktionierende Installation hervorbrachte, sowie eine kurze Serie von Versuchen, PowerShell-Payloads von einer angreiferkontrollierten Infrastruktur nachzuladen.

Der MSI-Installer trug den Namen „fanwei0324.msi". Die Bezeichnung greift den romanisierten chinesischen Namen von Weaver auf und sollte die Schaddatei offenbar als harmlos tarnen. Während der Kampagne führte der bislang unbekannte Akteur zudem typische Erkundungsbefehle wie whoami, ipconfig und tasklist aus.

Sicherheitsforscher Kerem Oruc hat ein Python-Skript bereitgestellt, das verwundbare E-cology-Instanzen erkennt, indem es prüft, ob der betroffene API-Endpunkt erreichbar ist. Betroffenen wird geraten, die verfügbaren Updates einzuspielen, falls dies noch nicht geschehen ist.

Aktiv ausgenutzt: Kritische RCE-Lücke in Weaver E-cology über Debug-API

Ähnliche Artikel

Neueste Artikel