استغلال نشط لثغرة خطيرة RCE فمنصة Weaver E-cology عبر API Endpoint ديال Debug

خلاصة — الثغرة CVE-2026-22679، لي كتمثل ثغرة خطيرة لتنفيذ الكود عن بعد (RCE) بلا مصادقة فنسخة Weaver E-cology 10.0، واقع فيها استغلال نشط دابا فالحياة الواقعية. هاد المشكل كاين فـ API Endpoint مكشوفة ديال Debug كتقبل معطيات كيتحكم فيها المهاجم باش ينفذ أوامر عشوائية. الاستغلال الفعلي بدا على الأقل من 17 مارس 2026، على حساب فرقة Vega Research Team، حيث أن فاعل التهديد حاول يوصل حمولة (payload) ويدير تقنيات التحرك الجانبي (lateral movement).

شنو واقع

واحد فاعل التهديد ما معروفش شكون هو، استغل ثغرة خطيرة ديال RCE فمنصة Weaver E-cology 10.0، لي كتعمل كمنصة ديال أتمتة المكاتب والتعاون فالشركات. هاد الثغرة، لي تشار ليها بالرمز CVE-2026-22679 وتصنفات بـ 9.8 فمؤشر CVSS، جاية من ضعف إجراءات التحكم فالولوج لـ endpoint خاصة بـ Debug API.

الـ endpoint المصابة /papi/esearch/data/devops/dubboApi/debug/method كتقبل طلبات POST بلا مصادقة. المهاجمين كيصاوبو طلبات فيها المعطيات interfaceName و methodName لي كيقدرو يتحكمو فيها باش يعيطو لدوال مساعدة (helpers) ديال تنفيذ الأوامر، وهادشي كيأدي لتنفيذ كود عشوائي على النظام المستهدف بشكل مباشر.

على حساب المعطيات المستخرجة، مؤسسة Shadowserver سجلت أول استغلال نشط فـ 31 مارس 2026. ولكن فرقة Vega Research Team لقات أدلة أقدم كتبين بلي الاستغلال بدا فـ 17 مارس 2026 — يعني غير خمس أيام من بعد ما خرج ترقيع (patch) ديال الثغرة فـ 12 مارس. هاد الحملة ديال الاختراق استمرات تقريبا سيمانة وفيها أنشطة مختلفة بحال: التأكد بلي الـ RCE خدامة، ثلاثة دالمحاولات فاشلة لتنزيل حمولة (payload)، محاولة التمحور عبر مثبت MSI سميتو "fanwei0324.msi" (باستعمال السمية الرومانية ديال Weaver)، ومحاولات بزاف باش يجبدو payloads ديال PowerShell من البنية التحتية ديال المهاجم. فاعل التهديد نفذ تا أوامر ديال الاكتشاف (discovery) عادية بحال whoami، ipconfig، و tasklist.

شركة الأمن الصينية QiAnXin كانت نشرات تحذير فـ 17 مارس 2026 كتأكد فيه بلي الثغرة ممكن تعاود تستغل (reproduced)، ولكن ما كشفوش على تفاصيل عملياتية خرى فهاديك الوقيتة.

علاش هادشي مهم

هاد الثغرة كتمثل طريق مباشر باش المهاجم يطيح النظام ديال أي خادم مركب Weaver E-cology 10.0 وما دارش الترقيع. حيت E-cology كيتعتبر منصة مركزية ديال الخدمة والتعاون عند بزاف ديال الشركات؛ الاستغلال الناجح كيعطي للمهاجم إمكانية ينفذ أوامر فأنظمة حساسة ومهمة. وبما أن المصادقة (authentication) ما مطلوباش، هادشي كيسهل بزاف الاستغلال، يعني المهاجم ما محتاج لا لبيانات اعتماد (credentials) ولا لولوج شرعي.

نمط الاستغلال لي تلاحظ فالحياة الواقعية كيبين بلي فاعلي التهديد داوزو مرحلة الـ Proof-of-concept. محاولات التثبيت (persistence) باستعمال MSI والاستطلاع للتحرك الجانبي (lateral movement reconnaissance) كتبين النية باش يحافظو على الوصول ويوسعو النطاق ديال الاختراق. بالنسبة لمحللي SOC والـ sysadmins فالمنطقة، هادشي كيعتبر إشارة واضحة لنشاط تهديد فعلي كيستهدف هاد اللوجيسيال فبيئات الإنتاج (production environments).

الأنظمة المتضررة و CVEs

• Weaver E-cology 10.0 (النسخ لي قبل من 20260312): CVE-2026-22679

شنو خاصنا نديرو

• نطبقو التحديثات الأمنية لنسخة Weaver E-cology 20260312 أو النسخ لي من موراها فالزربة، إلى كنا مازال ما درناهاش.
• نستعملو سكريبت الكشف (detection script) المكتوب بـ Python لي نشرو الباحث الأمني Kerem Oruc، باش نحددو الأنظمة المصابة عن طريق فحص واش هاد الـ API endpoint مكشوفة.
• نقننو الولوج للشبكة بالنسبة لـ endpoint المتضررة /papi/esearch/data/devops/dubboApi/debug/method على مستوى الـ Firewall أو WAF، ونسمحو غير لـ traffic الشرعي والمعروف يدوز.
• نراقبو الاتصالات الخارجة (outbound connections) من أنظمة E-cology باش نرصدو أي محاولة غريبة لتنزيل حمولة (payload) ديال PowerShell أو تنفيذ أوامر ما معروفاش.
• نراجعو السجلات (logs) ونقلبو على طلبات POST لي مشات لـ endpoint المذكورة، وبالأخص دوك لي فيهم المعطيات interfaceName و methodName، ابتداء من 17 مارس 2026 لفوق.

أسئلة باقة مطروحة

• الهوية ديال فاعل التهديد لي كينفذ هاد الحملة ديال الاستغلال مازالا مجهولة.
• العدد الإجمالي ديال الأنظمة المخترقة أو المستهدفة فالعالم ما معلنش عليه لحد دابا.
• الشركات، القطاعات، أو المناطق المحددة لي تضرات بهاد الحملة ما مذكورش فالتقارير لي كاينا.
• التفاصيل المحددة على المحاولات الفاشلة بـ 3 لتنزيل حمولة (payload) لي تذكرات فالحملة ما وضحوهاش.
• الحالة الحالية ديال الاستغلال النشط — واش الحملة مازالا مستامرة ولا سالات — ما تمش التوضيح ديالها.
• النطاق ديال تسريب البيانات (data exfiltration) أو الأضرار الجانبية من الاختراقات الناجحة ما زال ما تكشفش عليه.

Source

Weaver E-cology RCE Flaw CVE-2026-22679 Actively Exploited via Debug API