SchwachstellenHackerangriffeCyberkriminalität

Kritische RCE-Lücke in Weaver E-cology unter aktivem Angriff – deutsche Unternehmen gefährdet

Von CyberDeutsch Redaktion
Kritische RCE-Lücke in Weaver E-cology unter aktivem Angriff – deutsche Unternehmen gefährdet
Zusammenfassung

Die chinesische Enterprise-Software Weaver E-cology ist Ziel aktiver Cyberanschläge geworden. Eine kritische Sicherheitslücke (CVE-2026-22679) mit dem CVSS-Wert 9,8 ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen. Die Schwachstelle betrifft die Versionen 10.0 vor dem Update vom 12. März 2026 und existiert in einer Debug-API, die Angreifer zur Befehlsausführung missbrauchen können. Seit März 2026 gibt es Hinweise auf aktive Exploitierung durch unbekannte Bedrohungsakteure, die Befehle zur Systemenumerierung ausführen und versuchen, weitere Malware einzuschleusen. Dies ist besonders für deutsche Unternehmen relevant, da Weaver E-cology auch hierzulande als Collaboration- und Office-Automation-Plattform in größeren Organisationen eingesetzt wird. Betroffene Betriebe, insbesondere im Finanz-, Industriesektor und größere Behörden, laufen Gefahr, dass Angreifer unbemerkt in ihre Systeme eindringen und sensible Daten abgreifen oder weitere Anschläge durchführen. Sofortige Sicherheitsupdates sind erforderlich, um sich vor dieser aktiv ausgebeuteten Lücke zu schützen.

Die chinesische Office-Automation-Plattform Weaver E-cology ist Ziel einer Welle von Cyber-Angriffen geworden. Sicherheitsforscher der Vega Research Team dokumentierten erstmals aktive Exploits der Schwachstelle CVE-2026-22679 am 17. März 2026 – unmittelbar nach Veröffentlichung des Patches. Die Lücke betrifft alle Versionen von Weaver E-cology 10.0 vor dem Stand vom 12. März 2026.

Die technische Schwäche liegt in einem ungeschützten Debug-Endpunkt: Die API-Route “/papi/esearch/data/devops/dubboApi/debug/method” validiert Benutzereingaben nicht ausreichend. Angreifer können über manipulierte POST-Anfragen mit beliebigen interfaceName- und methodName-Parametern Befehle ausführen – komplett ohne sich vorher authentifizieren zu müssen. Dies ist in modernen Unternehmensanwendungen ein katastrophales Sicherheitsdesign.

Die dokumentierte Angriffskampagne zeigt typische Handschrift professioneller Cyber-Akteure: Nach der Überprüfung der RCE-Funktionalität versuchten die Angreifer, Malware-Payload in Form einer MSI-Installer-Datei namens “fanwei0324.msi” einzuschleusen – ein Täuschungsversuch unter Verwendung des romanisierten chinesischen Namens von Weaver. Allerdings scheiterten drei aufeinanderfolgende Payload-Drops. Die Angreifer führten anschließend typische Netzwerk-Aufklärungsbefehle aus: whoami, ipconfig und tasklist zur Systemerkennung.

Die chinesische Sicherheitsfirma QiAnXin konnte die Verwundbarkeit bereits am 17. März 2026 erfolgreich reproduzieren. Die Shadowserver Foundation bestätigte erste Exploits in freier Wildbahn am 31. März.

Für deutsche Unternehmen ist schnelles Handeln erforderlich. Der Sicherheitsforscher Kerem Oruc stellt ein Python-basiertes Detection-Tool bereit, mit dem anfällige Weaver-Instanzen identifiziert werden können. Betroffene Organisationen sollten sofort überprüfen, ob ihre E-cology-Installation betroffen ist, und umgehend den neuesten Patch einspielen. Angesichts der DSGVO-Meldepflichten bei Datenpannen ist schnellstmögliche Risikominderung nicht nur eine Frage der IT-Sicherheit, sondern auch der rechtlichen Compliance.

Ähnliche Artikel