Weaver E-cology critical bug exploited in attacks since March

Exploitation active de la faille critique dans Weaver E-cology

Depuis la mi-mars 2026, des attaquants exploitent une vulnérabilité critique au sein de la plateforme de gestion Weaver E-cology pour exécuter des commandes à distance. Bien qu’un correctif ait été publié par l’éditeur avant le début des attaques, la fenêtre d’opportunité entre la disponibilité du patch et sa divulgation publique a été utilisée par des acteurs malveillants pour mener des campagnes de reconnaissance et de tentatives d’exécution de code.

Points clés :

• Cible : Utilisateurs de Weaver E-cology 10.0 (principalement des organisations chinoises).
• Mode opératoire : Utilisation d’un point de terminaison (endpoint) API de débogage non sécurisé pour injecter des commandes système via le processus Java (Tomcat).
• Phases d’attaque : Les attaquants ont tenté de déployer des scripts PowerShell et des installateurs MSI, sans parvenir à établir de persistance sur les serveurs ciblés. La majorité des activités ont été bloquées par les solutions de défense des points de terminaison (EDR).
• Actions observées : Commandes de reconnaissance système (whoami, ipconfig, tasklist).

Vulnérabilité :

• CVE-2026-22679 : Vulnérabilité critique d’exécution de code à distance (RCE) non authentifiée, causée par une absence de validation des entrées dans une interface RPC accessible sans authentification.

Recommandations :

• Mise à jour immédiate : La seule solution efficace est d’appliquer le correctif officiel fourni par l’éditeur (build 20260312 ou ultérieur).
• Suppression de l’endpoint : La mise à jour corrige le problème en supprimant entièrement le point de terminaison API vulnérable. Aucune mesure d’atténuation alternative n’est disponible.

Source