Critical Weaver E-cology RCE Vulnerability Actively Exploited in Attacks
2026/05/05 CyberSecurityNews — Weaver E-cology の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2026-22679 (CVSS 9.8) が、未認証の脅威アクターたちに現在進行形で積極的に悪用されている。この脆弱性が影響を及ぼす範囲は、2026年3月12日より前にリリースされた Weaver E-cology 10.0 ビルドである。公開状態にあるデバッグ・エンドポイントに存在する脆弱性 CVE-2026-22679 は、認証が不要な任意のコマンド実行を、攻撃者に対して許すものとなる。細工された POST リクエストを送信する攻撃者は、悪意の入力をオペレーティング・システムへ直接渡すことが可能となる。
2026年3月17日に観測された最初の悪用は、ベンダー・パッチ公開からわずか 5日後のことであった。パッチの公開直後に開始された攻撃キャンペーンを、Vega Threat Research チームが確認している。脆弱性の迅速な武器化が示すのは、攻撃者が新たなエクスプロイトを即座に採用し、企業プラットフォームを侵害するまでのスピードの速さである。
Weaver E-cology RCE の悪用
この攻撃手法は、ping コールバックを介した RCE の成功可否の確認から始まる。その後に、Tomcat に同梱された Java 仮想マシン (JVM) を利用して、Goby 脆弱性スキャン・フレームワークに関連するコールバック・インフラへ ping を送信する。それにより、HTTP レスポンス本文に含まれる識別トークンを確認し、アクセス権の有無を検証する。
初期侵入に成功した攻撃者は、3日間にわたり複数の悪意のペイロード配信を試行したが、Weaver を装う Windows インストーラ・パッケージなどの実行ファイルは、EDR (endpoint detection and response) により隔離され、ことごとく阻止されるに至った。
その後の攻撃者は、検知を回避する行動へと移行し、プレーン・テキスト・ファイルに正規の Windows PowerShell 実行ファイルをコピーすることで、プロセス名による検知の回避を試みた。続いて、リネームされたバイナリを通じてファイルレスの PowerShell スクリプトを取得し、メモリ上で実行を図ったが、これも同様に検知され遮断されている。
攻撃全体を通じて、whoami/tasklist などのシステム情報収集コマンドが継続的に実行されたが、脆弱なデバッグ・エンドポイントが実行結果を HTTP レスポンスへ直接返す仕様であったことで、被害ホスト上に永続的なシェルを確立する必要はなかった。このリクエスト・レスポンス・モデルの活用により、探索とペイロード配信を同時に遂行することが可能になった。
対策
ユーザー組織にとって必要なことは、Weaver E-cology のバージョン 20260312 以降へとアップデートすることだ。このバージョンでは、脆弱性の原因となったデバッグ・エンドポイント自体が削除されている。
Vega Threat Research チームが推奨するのは、Java 仮想マシンを親プロセスとする異常なプロセスの監視である。特にネットワーク・ユーティリティやコマンド・ライン・インタプリタの起動の監視が重要となる。さらに、エンドポイント防御の強化や、該当 API パスへのネットワーク・トラフィックに対する継続的なモニタリングも有効である。
Indicators of Compromise (IOCs)
Network Indicator
| IP Address | Purpose | Associated URLs / Activity |
|---|---|---|
| 152.32.173[.]138 | Callback verification (Goby framework) | http://152.32.173%5B.%5D138/U<16hex>.<8hex> |
| 205.209.116[.]54 | Initial payload hosting | /vsgbt.exe, /hjchhb.exe |
| 161.132.49[.]114 | Base64 stager hosting | /config.js |
| 141.11.89[.]42 | MSI payload delivery | /fanwei0324.msi |
| 132.243.172[.]2 | Fileless PowerShell scripts | /config/xx.ps1, /w-2026/x.ps1 |
File Hash
| File Name | SHA256 Hash |
|---|---|
| fanwei0324[.]msi | 147ac3f24b2b63544d65070007888195a98d30e380f2d480edffb3f07a78377f |
Filenames / Artifacts
| Filename | Description |
|---|---|
| vsgbt[.]exe | Initial stager |
| hjchhb[.]exe | Initial stager |
| nvm[.]exe | Fake Node Version Manager binary |
| fanwei0324[.]msi | Malicious MSI installer |
| 2[.]txt | Renamed PowerShell binary |
| config[.]js | Base64 stager |
| xx[.]ps1 / x[.]ps1 | Fileless PowerShell payloads |
Host Indicators
| Indicator Type | Description |
|---|---|
| Suspicious Processes | java[.]exe spawning cmd[.]exe, powershell[.]exe, ping[.]exe |
| Exploitation Sign | Unauthorized command execution via debug endpoint |
注記:IP アドレスおよびドメインは、誤った解決やハイパーリンク化を防ぐため意図的に無効化 “例:[.]” されている。再有効化する際には、MISP/VirusTotal/SIEM などの管理された環境で実施する必要がある。
訳者後書:今回の Weaver E-cology における脆弱性 CVE-2026-22679 の原因は、本来であれば外部からアクセスされるべきではないデバッグ・エンドポイントが公開状態に置かれていることにあります。この侵入口を通じて、攻撃者は認証をバイパスして、直接 OS に命令を送ることが可能となります。開発時に便利なツールであっても、それが実稼働環境に残ってしまうと、今回のような深刻なリスクを招くことがあります。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.