Lỗ hổng CVE CVE-2026-22679 trên Weaver E-cology đang bị khai thác tích cực trong thực tế. Đây là một remote code execution không cần xác thực, với điểm CVSS 9.8, ảnh hưởng đến các bản Weaver E-cology 10.0 phát hành trước 20260312.
Phạm vi ảnh hưởng của lỗ hổng CVE
Điểm yếu bảo mật nằm ở một endpoint debug bị lộ. Kẻ tấn công có thể gửi các yêu cầu POST được tạo đặc biệt để đưa đầu vào độc hại trực tiếp đến hệ điều hành và thực thi lệnh tùy ý mà không cần xác thực.
Theo mô tả kỹ thuật, phản hồi của endpoint này trả lại đầu ra của lệnh đã thực thi ngay trong HTTP response. Cơ chế đó cho phép thực hiện khai thác zero-day theo kiểu request-and-response mà không cần thiết lập shell bền vững trên máy nạn nhân.
Cơ chế khai thác
Chuỗi tấn công bắt đầu bằng việc xác nhận khả năng remote code execution thông qua các lệnh ping đơn giản. Kẻ tấn công sử dụng Java Virtual Machine đi kèm Tomcat để chạy các lệnh ping hướng tới hạ tầng callback liên quan đến framework quét lỗ hổng Goby.
Việc kiểm tra phản hồi HTTP body bằng các token nhận dạng giúp xác nhận quyền thực thi lệnh trên hệ thống bị xâm nhập. Sau bước kiểm tra, các đối tượng tấn công tiếp tục cố gắng triển khai nhiều payload độc hại trong vòng ba ngày.
Hành vi sau khai thác
Trong giai đoạn tiếp theo, nhiều tệp thực thi và một gói Windows Installer được thử thả xuống, với tên gọi thể hiện rõ mục tiêu là phần mềm Weaver. Tuy nhiên, các biện pháp endpoint detection and response đã cách ly thành công các tệp này, ngăn việc cài đặt payload.
Sau khi các payload ban đầu bị chặn, kẻ tấn công chuyển sang né tránh phát hiện bằng cách sao chép tệp thực thi Windows PowerShell hợp lệ sang một tệp văn bản thuần túy để vượt qua cơ chế phát hiện theo tên tiến trình.
Thông qua binary đã đổi tên này, chúng cố tải và thực thi các script PowerShell không lưu trên đĩa, chạy trực tiếp trong bộ nhớ. Các hành vi này cũng bị chặn trong quá trình giám sát.
Trong toàn bộ chuỗi tấn công, các lệnh điều tra hệ thống như whoami và tasklist được thực thi liên tục để thu thập thông tin môi trường. Vì endpoint debug phản ánh trực tiếp kết quả lệnh trong HTTP response, không cần duy trì shell tương tác dài hạn.
Cảnh báo CVE và dấu hiệu cần giám sát
Ngày phát hiện sớm nhất của hoạt động khai thác là 17/03/2026, chỉ 5 ngày sau khi bản vá chính thức được phát hành. Điều này cho thấy tốc độ vũ khí hóa lỗ hổng CVE rất nhanh sau khi công bố bản vá bảo mật.
Để giảm rủi ro bảo mật, hệ thống Weaver E-cology cần được cập nhật lên build 20260312 hoặc mới hơn. Phiên bản này loại bỏ hoàn toàn endpoint debug dễ bị khai thác.
Tham khảo thêm thông tin về khai thác và khuyến nghị kỹ thuật tại nguồn phân tích: https://blog.vega.io/posts/cve-2026-22679-weaver-ecology-exploitation/.
IOC và chỉ dấu hoạt động
- CVE: CVE-2026-22679
- CVSS: 9.8
- Hành vi: POST request tới endpoint debug bị lộ
- Lệnh kiểm tra: ping, whoami, tasklist
- Hạ tầng callback: liên quan đến framework quét lỗ hổng Goby
- Tiến trình liên quan: Java Virtual Machine, Tomcat, Windows PowerShell
- Phương thức né phát hiện: sao chép PowerShell thành tệp văn bản để lẩn tránh theo tên tiến trình
Phát hiện xâm nhập và kiểm tra hệ thống
Các tổ chức đang vận hành Weaver E-cology nên giám sát tiến trình con do Java Virtual Machine khởi tạo, đặc biệt khi xuất hiện công cụ mạng hoặc trình thông dịch dòng lệnh. Đây là chỉ dấu quan trọng cho thấy hệ thống bị xâm nhập qua lỗ hổng CVE nói trên.
Việc kiểm tra lưu lượng mạng đến các API path liên quan cũng cần được thực hiện thường xuyên để phát hiện yêu cầu bất thường. Kết hợp với kiểm soát endpoint, cách tiếp cận này giúp nhận diện sớm nỗ lực tấn công mạng trước khi payload được triển khai.
Đối với các môi trường phân tích mối đe dọa, IP và domain trong nguồn gốc đã được defang bằng ký tự [.]. Việc refang chỉ nên thực hiện trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal hoặc SIEM nội bộ.
Khuyến nghị cập nhật bản vá
Để xử lý lỗ hổng CVE này, cần ưu tiên update vá lỗi lên build 20260312 hoặc cao hơn. Đồng thời, nên rà soát các tiến trình bất thường, đặc biệt là các tác vụ phát sinh từ Java, cùng với các truy vấn hệ thống như whoami và tasklist trong log ứng dụng.
Trong bối cảnh cảnh báo CVE đã được xác nhận khai thác thực tế, việc tăng cường giám sát endpoint và kiểm tra HTTP traffic đến các path nhạy cảm là cần thiết để giảm nguy cơ bảo mật trên hệ thống doanh nghiệp.
