Uma falha crítica na plataforma de automação ofimática Weaver E-cology (identificado como CVE-2026-22679) tem sido explorado de forma ativa desde meados de março para executar comandos de descoberta em servidores comprometidos, segundo o seguimento publicado pela assinatura de inteligência Vega. A raiz do problema é um endpoint de depuração exposto que passa parâmetros sem validar para a funcionalidade RPC do backend, o que permite converter essa interface em um mecanismo de execução remota de comandos a nível do sistema.
O panorama descrito por Vega revela várias fases de ataque: verificações iniciais de execução remota (mediante pings para callbacks associados à ferramenta Goby), tentativas de download de payloads por PowerShell ofuscado, a implantação falhada de um instalador MSI dirigido (fanwei0324.msi) e retornos a técnicas fileless que repetidamente traiam e executavam scripts remotos. Embora nos casos documentados as defesas de endpoints intervieram e não se chegou a uma persistência estabelecida, a capacidade técnica para executar comandos como whoami, ipconfig ou tasklist desde processos Java sem autenticação torna evidente o risco operacional.
Um dado crítico da cronologia: os ataques começaram poucos dias depois de o fornecedor publicar uma atualização (build 20260312) e antes de a vulnerabilidade se tornar amplamente pública, o que sublinha duas lições: primeiro, que as atualizações publicadas ficam inúteis se não forem aplicadas rapidamente; e segundo, que a disponibilidade de um adesivo não impede que atores procurem hosts sem adesivos aproveitando informações técnicas prévias ou a própria superfície de exposição.
O fornecedor eliminou o endpoint de depuração na build retificadora, e a recomendação oficial é clara: Actualizar a versão corrigida o mais rapidamente possível. Você pode encontrar o adesivo e o boletim do fabricante na página de Weaver: Aviso de segurança de Weaver (build 20260312). A análise técnica e o timeline publicado por pesquisadores está disponível no relatório de Vega: Análise de Vega sobre CVE-2026-22679. Para marco de priorização e práticas de resposta ante vulnerabilidades exploradas ativamente, consulte o catálogo de vulnerabilidades exploradas da CISA: CISA KEV.
Se a sua organização utilizar Weaver E-cology 10.0 ou versões anteriores a 12 de março de 2026, a primeira ação obrigatória é verificar o inventário e aplicar a build corrigida imediatamente. Além do adesivo, é imprescindível validar que a atualização foi aplicada corretamente e procurar indicadores de compromisso: verifique logs de servidor web para pedidos ao antigo endpoint de debugging, buscas de parâmetros suspeitos em pedidos RPC, e eventos onde processos java.exe actuam como pais de cmd.exe, powershell.exe ou outros processos inesperados.
As detecções práticas devem incluir a busca de linhas de comando PowerShell ofuscadas, tentativas repetidas de chamada a domínios externos ou beacons DNS/TCP e artefatos relacionados ao instalador malicioso relatado (por exemplo, referências a fanwei0324.msi). Em ambientes com o EDR, você acredita em regras para alertar sobre processos filhos originados na JVM do servidor (Tomcat embebido) que executem ferramentas de sistema ou que baixem e executem scripts de locais remotos.
Do ponto de vista arquitetônico, esta vulnerabilidade é uma chamada de atenção para implementar controles preventivos: restringir ou remover endpoints de depuração em produção, aplicar o princípio de menor privilégio a contas e processos, segmentar redes para limitar a capacidade de movimento lateral e submeter a endpoints críticos a políticas de controle de execução e filtragem de saída. Se não for possível corrigir imediatamente, mitigar a exposição restringindo o acesso ao porto ou endpoint vulnerável por listas de controle de acesso, proxies inversos ou WAF, embora a correção definitiva seja a atualização oficial.
Finalmente, se detectar sinais de exploração ou tiver motivos para crer que um host foi atingido, active o plano de resposta a incidentes: contenha o sistema em causa, preserve logs e memória para a sua análise forense, avalie a possibilidade de remediação completa (reinstalação se houver contaminação), e comunique às partes interessadas segundo os regulamentos aplicáveis. A ausência de persistência nos casos documentados não garante que futuros atacantes não tentem consolidar acesso; portanto, a monitorização contínua e a busca proativa no parque de servidores são imprescindíveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...