A plataforma de automação Weaver E-cology está a ser alvo de ataques que exploram uma falha crítica, identificada como CVE-2026-22679. Segundo os dados detalhados num alerta de segurança da Qianxin, os piratas informáticos começaram a aproveitar este problema em meados de março, poucos dias após a disponibilização de uma correção oficial por parte da empresa e cerca de duas semanas antes do caso se tornar público.
Este software é amplamente utilizado no mercado da China para a gestão de fluxos de trabalho, recursos humanos, documentos e processos empresariais internos. O erro afeta especificamente as versões E-cology 10.0 compiladas antes de 12 de março e permite a execução remota de código sem qualquer necessidade de autenticação prévia.
Como funciona a exploração do sistema
O problema central reside num ponto de acesso de depuração (API debug) exposto, que permite o envio de parâmetros manipulados diretamente para as funções de back-end de Remote Procedure Call (RPC). Como não existe qualquer validação de entrada, os atacantes conseguem passar comandos que são posteriormente executados pelo servidor. Na prática, isto transforma o ponto de acesso numa interface aberta para controlar o sistema à distância.
A equipa de inteligência de ameaças da Vega, que documentou a atividade maliciosa, refere que as investidas duraram aproximadamente uma semana e desenrolaram-se em várias fases. Inicialmente, os criminosos testaram a capacidade de execução remota de comandos e procederam ao descarregamento de ficheiros maliciosos através do PowerShell. Felizmente, as defesas locais dos equipamentos conseguiram travar estas primeiras tentativas, bem como a posterior instalação de um ficheiro MSI preparado para o efeito.
Persistência e correção oficial
Apesar dos bloqueios iniciais, os atacantes voltaram a explorar a vulnerabilidade recorrendo a scripts ofuscados, executados na memória, para extrair ficheiros remotos e realizar tarefas de reconhecimento contínuo, como a listagem de processos e informações de rede. No entanto, a análise demonstra que os piratas não conseguiram estabelecer uma sessão permanente nas máquinas afetadas. Todas as execuções tiveram origem no processo Java associado ao servidor Tomcat integrado na plataforma.
Para resolver o problema, os administradores de sistemas devem aplicar a atualização de segurança mais recente (build 20260312). Esta versão elimina por completo o ponto de depuração problemático. O fabricante não publicou qualquer solução ou mitigação temporária, o que torna o processo de atualização o único método eficaz para proteger as infraestruturas afetadas.
(TT)