Peretas dilaporkan telah secara aktif mengeksploitasi kerentanan kritis (CVE-2026-22679) pada platform otomatisasi kantor Weaver E-cology sejak pertengahan Maret 2026 untuk menjalankan perintah penemuan (discovery commands) di sistem target.
Yang mengejutkan, gelombang serangan ini dimulai hanya lima hari setelah vendor perangkat lunak merilis pembaruan keamanan untuk mengatasi masalah tersebut, dan dua minggu sebelum kerentanan tersebut diungkapkan ke publik. Peneliti dari perusahaan intelijen ancaman Vega mendokumentasikan aktivitas berbahaya ini dan melaporkan bahwa serangan berlangsung selama sekitar satu minggu dengan beberapa fase yang berbeda.
Sebagai konteks, Weaver E-cology adalah platform kolaborasi dan otomatisasi kantor (Office Automation/OA) tingkat perusahaan yang digunakan secara luas untuk alur kerja, manajemen dokumen, sumber daya manusia (SDM), dan proses bisnis internal. Produk perangkat lunak ini terutama banyak digunakan oleh berbagai organisasi dan perusahaan di Tiongkok.
Detail Kerentanan CVE-2026-22679
CVE-2026-22679 adalah celah keamanan Eksekusi Kode Jarak Jauh (RCE) tanpa autentikasi yang sangat kritis. Kerentanan ini memengaruhi build Weaver E-cology 10.0 yang dirilis sebelum 12 Maret 2026.
Celah fatal ini disebabkan oleh endpoint API debug yang terekspos, yang secara tidak tepat memungkinkan parameter masukan dari pengguna untuk mencapai fungsionalitas Remote Procedure Call (RPC) di backend tanpa adanya proses autentikasi atau validasi input. Kelemahan ini memungkinkan penyerang meneruskan nilai yang dimanipulasi yang pada akhirnya dieksekusi sebagai perintah sistem pada server, yang secara efektif mengubah endpoint tersebut menjadi antarmuka eksekusi perintah jarak jauh.
Fase dan Metode Serangan
Menurut analisis dari tim Vega, para penyerang menjalankan aksinya melalui serangkaian langkah sistematis:
- Pengintaian Awal: Penyerang pertama-tama memeriksa kemampuan RCE dengan memicu perintah ping dari proses Java ke callback yang terhubung dengan Goby.
- Upaya Pengunduhan Payload: Mereka kemudian mencoba melakukan beberapa unduhan payload berbasis PowerShell. Beruntung, semua upaya ini berhasil diblokir oleh sistem pertahanan endpoint.
- Upaya Instalasi MSI: Selanjutnya, peretas mencoba menyebarkan penginstal MSI yang menyadari target (
fanwei0324.msi), tetapi file ini gagal dieksekusi dengan benar dan tidak ada aktivitas lanjutan yang terpantau. - Eksploitasi RCE Lanjutan: Setelah serangkaian kegagalan tersebut, penyerang kembali ke endpoint RCE, kali ini menggunakan PowerShell tanpa file (fileless) dan terobfuskasi untuk mengambil skrip jarak jauh secara berulang.
- Perintah Pengintaian Sistem: Di sepanjang fase serangan, aktor ancaman secara konsisten mengeksekusi perintah pengintaian dasar, seperti
whoami,ipconfig, dantasklist.
Vega menjelaskan bahwa meskipun para penyerang memiliki peluang RCE dengan mengeksploitasi CVE-2026-22679, mereka tidak pernah berhasil membangun sesi yang persisten pada host yang ditargetkan.
Rekomendasi Pembaruan Segera
“Setiap proses penyerang yang kami amati berinduk pada java.exe (Mesin Virtual Java bundel Tomcat milik Weaver), tanpa autentikasi sebelumnya,” jelas pihak Vega. Mereka juga menambahkan bahwa “perbaikan dari vendor (build 20260312) menghapus endpoint debug tersebut secara keseluruhan.”
Pengguna platform Weaver E-cology 10.0 sangat direkomendasikan untuk segera menerapkan pembaruan keamanan yang tersedia melalui situs resmi vendor. Karena tidak ada mitigasi alternatif atau solusi sementara (workaround) yang dicantumkan dalam buletin resmi, melakukan upgrade sistem adalah satu-satunya jalan untuk mengamankan server dari eksploitasi celah ini.