Все ожидали, что поставщики ПО будут латать дыры, а потом, ну знаете, сообщать об этом людям. Или хотя бы сообщать после выхода патча. Но с Weaver E-cology всё оказалось не так. Похоже, злоумышленники получили информацию об CVE-2026-22679 раньше широкой публики. Это меняет дело. Это не просто очередной вторник с zero-day; это промах вендора, помноженный на спидран хакеров.
Weaver E-cology, если вы не следили за новостями из мира корпоративной автоматизации офиса (кто следит?), — это, по сути, цифровой клей для китайского бизнеса. Рабочие процессы, документы, HR — всё туда. Это тот тип ПО, который, ломаясь, останавливает всё остальное. А эта уязвимость? Критическая. Без аутентификации. С возможностью удалённого выполнения кода. Триумвират рока, не иначе.
Сама уязвимость: Классика некомпетентности
Что по-настоящему возмущает, так это то, как это произошло. Отладочный API-endpoint. Открыт. Позволяет пользовательскому вводу напрямую попадать в серверные функции удалённого вызова процедур (RPC). Без аутентификации. Без какой-либо валидации ввода. Это как оставить ключи в заведённой машине для отхода и потом удивляться, почему она уехала. Vega, специалисты по анализу угроз, разложили всё по полочкам.
Атакующие, благослови их нелёгкий труд, начали с простых ping-команд. Просто проверить, получится ли. Затем попытались скачать PowerShell-пейлоады. Заблокировано. Попытались установить MSI-инсталлятор. Неудачно. Так что они вернулись к основам: обфусцированный, файловый PowerShell. Многократно скачивая удалённые скрипты. И всё это во время выполнения команд обнаружения, таких как whoami и ipconfig. Это была не столько мастерская работа по сокрытию, сколько шумное ограбление с взломом.
И вишенка на торте? Они так и не добились персистентности. Vega отмечает, что все процессы атакующих были дочерними по отношению к java.exe. Никакого хитроумного плацдарма, просто… присутствовали. Временно. Как будто вломиться в дом и постоять немного в коридоре, прежде чем уйти.
«Каждый наблюдаемый нами процесс атакующего был дочерним для java.exe (включенной в Tomcat виртуальной машины Java Weaver), без предшествующей аутентификации», — пояснили в Vega, добавив, что «исправление от вендора (сборка 20260312) полностью удаляет отладочный endpoint».
Смущающий просчёт вендора
Вот где настоящий цирк. Атаки начались через пять дней после того, как Weaver выпустил обновление безопасности именно для этой уязвимости. Пять дней. И они продолжались две недели до того, как Weaver решил сделать это публичным достоянием. Это не просто медлительность; это вопиющая халатность. Это говорит о поразительно плохой внутренней системе обработки уязвимостей. Сначала патч, потом судорожные попытки раскрытия, и надежда, что никто не заметил гигантскую дыру, которую вы оставили открытой, пока занимались всем этим. Это не просто CVE; это PR-катастрофа на подходе. И это тот инцидент, который заставляет задуматься о безопасности любого другого ПО, обеспечивающего работу вашего бизнеса.
Это новая норма?
Вся эта история с Weaver E-cology подчёркивает тревожную тенденцию. Атакующие становятся быстрее, а вендоры… ну, их ловят. Разрыв между выпуском патча и его эксплуатацией сокращается. А разрыв между эксплуатацией и раскрытием? Похоже, он растёт, по крайней мере, у некоторых. Это подразумевает тревожную игру в кошки-мышки, где у мышей лучше разведданные и быстрее колёса, чем у кошки, которая всё ещё пытается понять, где выход.
Исправление от вендора, сборка 20260312, судя по всему, просто выдёргивает весь отладочный endpoint. Грубый инструмент, да, но эффективный. Никаких хитрых обходных путей. Просто обновитесь. Если вы используете Weaver E-cology 10.0 и ещё не установили патч, сделайте это. Вчера. Атакующие, возможно, уже ушли, но кто знает, что ещё таится в этом коде. Вся эта история — суровое напоминание: доверяй, но проверяй. А когда речь идёт о корпоративном ПО, возможно, просто проверяй. Многократно.
🧬 Связанные материалы
- Читать ещё: Кошмар Juniper Junos OS: 36 уязвимостей, которые могут передать ключи от вашей сети атакующим
- Читать ещё: Android 16 от Google — цифровая крепость для журналистов и политиков под ударом
Часто задаваемые вопросы
Что такое Weaver E-cology? Weaver E-cology — это платформа корпоративной автоматизации офиса и совместной работы, используемая для различных бизнес-процессов, таких как рабочие процессы, управление документами и HR.
Были ли украдены мои данные? В первоначальном отчёте не упоминается кража данных, только выполнение команд обнаружения и попытки загрузки пейлоадов, которые, как сообщается, были заблокированы средствами защиты.
Могу ли я всё ещё подвергнуться атаке, если я не в Китае? Хотя в отчёте отмечается, что продукт в основном используется китайскими организациями, сама уязвимость, CVE-2026-22679, теоретически может затронуть любой экземпляр затронутого программного обеспечения независимо от географического положения.
