Kritická zranitelnost v platformě Weaver E-cology: útočníci byli opět o krok napřed

Platforma pro podnikovou automatizaci Weaver E-cology se ocitla v hledáčku útočníků, kteří aktivně zneužívají kritickou zranitelnost označenou jako CVE-2026-22679. Podle bezpečnostního varování společnosti Qianxin začali hackeři tuto chybu využívat již v polovině března – jen několik dní poté, co výrobce vydal záplatu, a přibližně dva týdny před tím, než se případ vůbec dostal na veřejnost.

Tento časový sled je sám o sobě varovným signálem: okno zranitelnosti bylo otevřeno ještě dříve, než většina administrátorů vůbec věděla, co hledat.

Weaver E-cology je rozšířená platforma primárně na čínském trhu, která pokrývá správu pracovních toků, HR agendu, správu dokumentů a interní firemní procesy. Tento případ připomíná, že dodavatelský řetězec softwaru a rychlost reakce na záplaty patří k nejkritičtějším parametrům bezpečnostní politiky. Zranitelnost konkrétně postihuje verze E-cology 10.0 sestavené před 12. březnem 2026 a umožňuje vzdálené spuštění kódu zcela bez jakékoliv autentizace.

Jak útok funguje: otevřené debug API jako vstupní brána

Jádro problému tkví v exponovaném ladícím přístupovém bodu – tzv. debug API –, který dovoluje odesílat škodlivé parametry přímo do backendových funkcí zajišťujících vzdálené volání procedur (RPC). Protože systém vůbec nevaliduje vstupní data, mohou útočníci prostřednictvím tohoto rozhraní předávat libovolné příkazy, které server následně bez ověření vykoná. V praxi jde tedy o situaci, kdy se diagnostický nástroj určený pro vývojáře stane otevřenou zadní vrátka pro vzdálené ovládání celého systému.

Tým threat intelligence společnosti Vega, který škodlivou aktivitu zdokumentoval, popisuje sérii útoků trvající přibližně jeden týden, přičemž probíhaly ve více fázích. V první vlně útočníci testovali možnosti vzdáleného spuštění příkazů a pokoušeli se stáhnout malware prostřednictvím PowerShellu. Koncové bezpečnostní nástroje na dotčených zařízeních tyto pokusy úspěšně zastavily, stejně jako následnou snahu o instalaci připraveného MSI souboru.

Pokus o perzistenci a jediné účinné řešení: patch

Poté, co byly první útoky blokovány, útočníci přistoupili k sofistikovanějšímu přístupu. Začali využívat obfuskované skripty spouštěné přímo v paměti, jejichž cílem bylo stahování vzdálených souborů a průběžný průzkum napadeného prostředí – včetně výpisu běžících procesů a síťové konfigurace. Analýza nicméně potvrzuje, že se útočníkům nepodařilo etablovat trvalou přítomnost na kompromitovaných strojích.

Veškerá škodlivá aktivita přitom vycházela z Java procesu integrovaného webového serveru Tomcat, který je součástí platformy.\n\nVýrobce žádné dočasné zmírnění dopadu ani alternativní ochranu nepublikoval. Jediným funkčním opatřením tak zůstává aplikace nejnovější bezpečnostní aktualizace – build 20260312 –, která problematický debug endpoint zcela odstraňuje. Pro administrátory systémů Weaver E-cology je okamžitá aktualizace na tuto verzi absolutní prioritou bez výjimky.

Případ zároveň ilustruje obecně platný princip, který by měl být zakotven v každé firemní bezpečnostní politice: záplata vydaná výrobcem neznamená, že je problém vyřešen – znamená pouze, že hodiny začaly tikát. Čím déle trvá nasazení opravy do produkce, tím větší je pravděpodobnost, že útočníci mezeru využijí dříve, než správci vůbec zareagují.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI