Weaver E-cology 零日漏洞 CVE-2026-22679 自三月以来被利用

执行摘要

自2026年3月中旬以来，攻击者一直在积极利用CVE-2026-22679，这是一个在Weaver E-cology中的关键未认证远程代码执行漏洞，Weaver E-cology是一个在中国和部分亚洲地区广泛使用的办公自动化平台。根据BleepingComputer的报道，这个漏洞的CVSS得分为9.8，该平台首次报道了野外利用情况。截至2026年5月4日，Weaver尚未发布安全补丁。这些攻击主要用于在被入侵的服务器上执行发现命令，暗示着为后续行动进行侦察。

技术分析

CVE-2026-22679存在于Weaver E-cology OA系统中，这是一个处理文件管理、工作流和协作的套件，服务于政府、制造业和企业部门的数千个组织。该漏洞允许未经认证的攻击者发送特别制作的HTTP请求，以触发底层服务器上的远程代码执行。

BleepingComputer报道称，利用始于2026年3月中旬，观察到的有效载荷执行了诸如whoami、ipconfig和netstat等系统发现命令。这种模式表明了初始访问和侦察，而不是立即部署勒索软件或数据泄露。攻击者似乎在决定下一步行动之前正在映射网络环境。

由于利用不需要认证要求，因此对于暴露在互联网上的实例来说，这个漏洞特别危险。Weaver E-cology通常部署在内部网络上，但可以通过VPN或暴露的管理接口访问。截至本文撰写时，安全研究人员尚未公开将攻击归因于特定的威胁行为者或团体。

缓解措施与建议

截至2026年5月4日，Weaver尚未提供官方补丁。运行Weaver E-cology的组织应立即采取以下步骤：

• 隔离受影响系统：如果OA平台面向互联网，请通过防火墙规则或VPN限制访问到受信任的IP范围。如果服务不是业务关键的，考虑将其下线。
• 监控利用尝试：检查Web服务器日志，寻找针对易受攻击端点的不寻常POST请求或命令执行模式。指标包括对触发shell命令的请求的HTTP 200响应。
• 应用虚拟补丁：如果已部署Web应用程序防火墙（WAF），请部署规则以阻止CVE-2026-22679的已知利用签名。一些WAF供应商已发布紧急签名。
• 假设被入侵：鉴于两个月的利用窗口，任何运行Weaver E-cology的系统都应被视为可能被入侵。进行取证分析以识别横向移动或持久性机制。
• 联系Weaver支持：向供应商施压，要求加快补丁时间表。如果没有修复，考虑迁移到替代的OA平台。