Faille critique de Weaver e-Cology exploitée dans des attaques depuis mars

Faille critique de Weaver e-Cology exploitée dans des attaques depuis mars

Des attaquants exploitent depuis la mi-mars une vulnérabilité critique nommée CVE-2026-22679 au sein de la plateforme Weaver E-cology, un outil d’automatisation bureautique dédié aux workflows, à la gestion documentaire, aux ressources humaines et aux processus internes des entreprises, majoritairement chinoises.

Les opérations malveillantes ont débuté cinq jours après la publication par l’éditeur d’un correctif dédié, et deux semaines avant son annonce officielle.

Les experts de la société d’intelligence sur les menaces Vega ont recensé ces activités, qui se sont étalées sur environ une semaine et ont comporté plusieurs étapes distinctes.

Cette faille permet une exécution de code à distance (RCE) sans authentification sur les versions de Weaver E-cology 10.0 antérieures au 12 mars. Elle provient d’un point d’accès API de débogage exposé, qui transmet sans contrôle ni validation les paramètres fournis par l’utilisateur vers des fonctions RPC en arrière-plan, autorisant ainsi l’exécution de commandes système sur le serveur.

Les cybercriminels ont d’abord vérifié les capacités RCE en lançant des commandes ping depuis le processus Java vers un rappel lié à Goby, avant de tenter plusieurs téléchargements de charges utiles basées sur PowerShell. Ces actions ont été stoppées par les défenses locales.

Une installation MSI adaptée à la cible, nommée fanwei0324.msi, a ensuite été essayée, sans succès, et aucune poursuite n’a été détectée.

Les assaillants sont revenus à l’exploitation de l’endpoint vulnérable avec du PowerShell codé de manière obscure et sans fichier, pour récupérer à plusieurs reprises des scripts distants. Ils ont systématiquement lancé des commandes de reconnaissance comme whoami, ipconfig et tasklist.

Activity timeline
Activity timeline
Source: Vega

 

Selon Vega, malgré l’accès RCE via CVE-2026-22679, les attaquants n’ont obtenu aucune session persistante sur les machines visées. Tous les processus malveillants descendent de java.exe, issu de la Java Virtual Machine intégrée à Tomcat par Weaver, sans étape d’authentification préalable. Le correctif de l’éditeur, daté du build 20260312, supprime complètement cet endpoint de débogage.