Phát hiện lỗ hổng nghiêm trọng trong Weaver E-cology, cho phép thực thi mã từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
132
1.866 bài viết
Phát hiện lỗ hổng nghiêm trọng trong Weaver E-cology, cho phép thực thi mã từ xa
WhiteHat Team
Một lỗ hổng thực thi mã từ xa vừa được phát hiện trong nền tảng Weaver E-cology đang đặt ra nguy cơ nghiêm trọng đối với các hệ thống doanh nghiệp. Vấn đề nằm ở một API gỡ lỗi bị lộ, cho phép kẻ tấn công có thể khai thác để thực thi lệnh trái phép và tiến tới kiểm soát toàn bộ hệ thống từ xa.
Weaver.png

Lỗ hổng được định danh CVE-2026-22679, đạt mức độ nghiêm trọng CVSS 9.8, ảnh hưởng đến các phiên bản Weaver E-cology 10.0 trước ngày 12/03/2026. Theo cơ sở dữ liệu lỗ hổng bảo mật quốc gia Mỹ (NVD), lỗ hổng nằm ở endpoint: /papi/esearch/data/devops/dubboApi/debug/method. Đây vốn là một tính năng gỡ lỗi bị lộ lọt ra ngoài mà không có cơ chế kiểm soát quyền truy cập phù hợp. Khi bị khai thác, kẻ tấn công có thể gửi các yêu cầu HTTP POSTvới các tham số interfaceName và methodName do chúng kiểm soát, từ đó kích hoạt các hàm nội bộ và dẫn đến thực thi mã tùy ý trên hệ thống.

Các dấu hiệu khai thác thực tế đã xuất hiện chỉ trong thời gian ngắn sau khi bản vá được phát hành. Shadowserver ghi nhận hoạt động liên quan từ ngày 31/03/2026, trong khi QiAnXin từng cảnh báo từ ngày 17/03/2026 và xác nhận có thể tái hiện lỗ hổng, dù không công bố chi tiết kỹ thuật.

Phân tích từ Vega Research cho thấy hoạt động khai thác có thể đã bắt đầu sớm hơn, với bằng chứng đầu tiên từ ngày 17/03/2026. Điều này đồng nghĩa việc khai thác diễn ra gần như ngay sau khi bản vá được phát hành.

Chuỗi tấn công kéo dài khoảng một tuần, với nhiều bước thử nghiệm liên tiếp. Chúng tiến hành xác minh khả năng thực thi mã từ xa, thực hiện ba lần triển khai payload nhưng không thành công, sau đó chuyển sang hướng cài đặt file MSI song vẫn thất bại. Đồng thời, nhiều nỗ lực tải PowerShell từ hạ tầng điều khiển bên ngoài cũng được ghi nhận.

Đáng chú ý, file MSI được sử dụng mang tên “fanwei0324.msi”, được đặt theo cách phiên âm tiếng Trung của Weaver nhằm che giấu mục tiêu thực sự. Trong suốt chiến dịch, chúng cũng thực thi các lệnh thăm dò hệ thống như whoami, ipconfig và tasklist để thu thập thông tin môi trường.

Hãng khuyến nghị tổ chức đang sử dụng Weaver E-cology cần cập nhật ngay lên phiên bản đã vá để giảm thiểu nguy cơ bị khai thác.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phần mềm gián điệp Android biến tướng có thể đổi tên và phát tán hàng loạt
  • Gói npm độc hại biến Hugging Face thành hạ tầng phát tán mã độc và kho chứa dữ liệu
  • Checkmarx KICS bị chiếm kho Docker, phát tán image độc hại đánh cắp dữ liệu
  • Đề xuất nâng mức xử phạt: Nói sai trên mạng có thể đối mặt án tù 7 năm
  • Router TP-Link bị nhắm mục tiêu: Lỗ hổng cũ bị khai thác để phát tán botnet Mirai
  • Phần mềm hợp pháp bị lợi dụng để phát tán mã độc vô hiệu hóa phần mềm diệt virus
    • Thẻ
    cve-2026-22679 rce weaver e-cology
    Bên trên