Herkes yazılım firmalarının açıklarını yamayıp sonra da bunu insanlara bildirmesini beklerdi. Ya da en azından yama yaptıktan sonra insanlara söylemelerini. Ama Weaver E-cology’de işler böyle yürümüyor anlaşılan. Kötü niyetliler, CVE-2026-22679 hakkındaki bilgiyi genel kamuoyundan önce edinmiş gibi görünüyor. Bu durumu değiştiriyor. Bu sadece sıradan bir sıfır gün açığı değil; bu, bir satıcı hatasının hacker’ların hız rekoru kırmasıyla katmanlandığı bir durum.
Eğer kurumsal ofis otomasyonu haberlerini yakından takip etmiyorsanız (kim ediyor ki?), Weaver E-cology aslında Çinli şirketlerin dijital yapıştırıcısı gibidir. İş akışları, belgeler, İK — her şey. Kırıldığı zaman diğer her şeyin durma noktasına geldiği türden bir yazılım. Ve bu açık? Kritik. Kimlik doğrulama gerektirmiyor. Uzaktan kod çalıştırılmasına imkan tanıyor. Gerçek bir felaket üçlüsü.
Açığın Kendisi: Ders Kitabı Niteliğinde Yeteneksizlik
İşin gerçekten sinir bozucu yanı bu durumun nasıl yaşandığı. Bir hata ayıklama (debug) API uç noktası. Açıkta bırakılmış. Kullanıcı girdisinin doğrudan arka uç Uzaktan Yordam Çağrısı (RPC) fonksiyonlarına girmesine izin veriyor. Kimlik doğrulaması olmadan. Hiçbir girdi doğrulaması olmadan. Sanki kaçış arabasının anahtarını kontakta bırakıp neden sürüp gittiğini merak etmek gibi. Tehdit istihbarat firması Vega durumu tüm detaylarıyla ortaya koydu.
Saldırganlar, canları cehenneme, basit ping komutlarıyla başladılar. Sadece yapıp yapamayacaklarını görmek için. Sonra PowerShell yüklemelerini indirmeyi denediler. Engellendi. Bir MSI yükleyicisi denediler. Başarısız oldu. Bu yüzden temel yöntemlere geri döndüler: karartılmış (obfuscated), dosyasız PowerShell. Tekrar tekrar uzaktan betikler indirerek. Bunların hepsini whoami ve ipconfig gibi keşif komutlarını çalıştırırken yapıyorlardı. Bu pek gizlilik ustası bir iş değildi, daha çok gürültülü bir mağaza soygununa benziyordu.
Ve en çarpıcı nokta? Kalıcılık bile sağlayamadılar. Vega, gözlemledikleri tüm saldırgan süreçlerinin java.exe tarafından başlatıldığını belirtiyor. Süslü bir iz bırakma (foothold) yok, sadece… oradalar. Geçici olarak. Bir eve girip koridorda biraz dikilip sonra çıkmak gibi.
Vega, “Gözlemlediğimiz her saldırgan sürecinin parent’ı java.exe’ydi (Weaver’ın Tomcat ile birlikte gelen Java Sanal Makinesi), herhangi bir kimlik doğrulamasından önce gerçekleşti,” diyerek ekledi, “Satıcı yaması (build 20260312) hata ayıklama uç noktasını tamamen kaldırıyor.”
Bir Satıcının Utanç Verici Göz Ardı Edişi
Buradaki asıl vurucu nokta şu. Saldırılar, Weaver’ın bu açık için bir güvenlik güncellemesi yayınlamasından beş gün sonra başladı. Beş gün. Ve Weaver durumu kamuoyuna duyurmayı seçmeden önce iki hafta boyunca devam etti. Bu sadece yavaş değil; derinlemesine ihmalkarlık. Güvenlik açıklarını ele alma konusunda şaşırtıcı derecede zayıf bir iç süreç öneriyor. Önce yamayı yap, sonra duyurmak için uğraş ve o sırada açık bıraktığın devasa delik kimsenin fark etmemesini umut et. Bu sadece bir CVE değil; bu bir halkla ilişkiler kabusu. Ve işinizi yürüten diğer tüm yazılımların güvenlik duruşunu sorgulamanıza neden olan türden bir olay.
Bu Yeni Normal mi?
Bu Weaver E-cology karmaşası rahatsız edici bir eğilimi vurguluyor. Saldırganlar hızlanıyor ve satıcılar… eh, yakalanıyorlar. Yama yayınlanması ile istismar arasındaki boşluk daralıyor. Peki ya istismar ile duyuru arasındaki boşluk? Görünüşe göre bu boşluk genişliyor, en azından bazıları için. Bu, farelerin kediden daha iyi istihbarata ve daha hızlı tekerleklere sahip olduğu, kedinin ise hala kapının hangi yönde olduğunu anlamaya çalıştığı endişe verici bir kedi-fare oyunu anlamına geliyor.
Satıcının yaması olan 20260312 sürümü, anlaşılan tüm hata ayıklama uç noktasını tamamen kaldırıyor. Kaba bir alet belki ama etkili. Süslü çözümler yok. Sadece yükseltin. Eğer Weaver E-cology 10.0 kullanıyorsanız ve henüz yama yapmadıysanız, hemen yapın. Dünden beri. Saldırganlar ilerlemiş olabilirler, ancak o kodda başka nelerin gizlendiğini kim bilir. Bu bütün olay şunu sert bir şekilde hatırlatıyor: güven ama doğrula. Ve kurumsal yazılımlar söz konusu olduğunda, belki de sadece doğrula. Tekrar tekrar.
🧬 İlgili İçgörüler
- Daha Fazla Okuyun: Juniper’in Junos OS Kabusu: Saldırganlara Ağ Anahtarlarınızı Teslim Edebilecek 36 Hata
- Daha Fazla Okuyun: Google’ın Android 16’sı Kuşatma Altındaki Gazeteciler ve Politikacılar İçin Dijital Bir Kale Sunuyor
Sıkça Sorulan Sorular
Weaver E-cology nedir? Weaver E-cology, iş akışları, belge yönetimi ve İK gibi çeşitli iş süreçleri için kullanılan bir kurumsal ofis otomasyonu ve işbirliği platformudur.
Verilerim çalındı mı? Orijinal rapor, veri hırsızlığından bahsetmiyor, yalnızca keşif komutlarının yürütülmesinden ve yükleme indirme denemelerinden bahsediyor; bunlar raporlara göre savunmalar tarafından engellenmiş.
Çin’de değilsem hala saldırıya uğrayabilir miyim? Rapor, ürünün öncelikle Çinli kuruluşlar tarafından kullanıldığını belirtse de, etkilenen yazılımın herhangi bir örneğini coğrafi konumdan bağımsız olarak teorik olarak etkileyebilecek bir güvenlik açığı olan CVE-2026-22679 mevcuttur.
