Exploit RCE Weaver E-cology: endpoint debug sotto attacco

Exploit RCE Weaver E-cology: endpoint debug sotto attacco

Attori non identificati stanno sfruttando attivamente la vulnerabilità CVE-2026-22679 su Weaver E-cology 10.0, raggiungendo l’esecuzione remota di comandi attraverso un endpoint debug API esposto senza autenticazione. Le prime evidenze documentate di exploitation risalgono almeno al 17 marzo 2026, a meno di una settimana dal rilascio della patch correttiva. Per le aziende che dipendono dalla piattaforma ERP/OA, la combinazione di un vettore non autenticato e di una gravità CVSS fino a 9,8 impone una risposta immediata.

L’endpoint DubboApi debug: la catena di attacco

Il problema risiede in un endpoint di debug legato al framework DubboApi, raggiungibile nel percorso /papi/esearch/data/devops/dubboApi/debug/method. Nelle installazioni di Weaver E-cology 10.0 che non hanno ancora applicato la build 20260312, questa interfaccia non impone alcuna autenticazione, permettendo a chiunque di inviare richieste POST con parametri arbitrari. I ricercatori hanno verificato che i parametri interfaceName e methodName, entrambi controllabili dall’attaccante, possano essere instradati verso helper di esecuzione comandi presenti nella piattaforma, aprendo la strada a un RCE non autenticato con un punteggio CVSS fino a 9,8.

"Attackers can craft POST requests with attacker-controlled interfaceName and methodName parameters to reach command-execution helpers and achieve arbitrary command execution on the system." — NIST National Vulnerability Database (NVD), citato da The Hacker News

Dalla patch all’exploit: abuse documentato in meno di una settimana

La vulnerabilità CVE-2026-22679 è stata corretta con la build 20260312. Tuttavia, il lasso di tempo tra la disponibilità della patch e il primo abuse documentato si è rivelato estremamente ridotto. Il Vega Research Team ha identificato evidenze di exploitation attive risalenti almeno al 17 marzo 2026, a meno di una settimana dal rilascio dell’aggiornamento. Questa rapidità suggerisce che gli attaccanti hanno analizzato la correzione e sviluppato un exploit funzionante in tempi molto brevi, oppure che il vettore era già noto in ambienti ristretti prima della pubblicazione ufficiale.

La Shadowserver Foundation, che monitora attivamente la superficie di attacco internet, ha rilevato i primi segni di exploitation sulla propria rete di sensori a partire dal 31 marzo 2026. Pur non essendo noto il numero esatto di sistemi compromessi, la sovrapposizione tra la data di abuse più antica e la rilevazione successiva indica una campagna in espansione graduale, piuttosto che un exploit one-shot. L’attore della minaccia resta non identificato e non è chiaro se l’exploit sia stato integrato in kit di exploitation pubblici o se rimanga circoscritto a operazioni mirate.

Comandi discovery e payload MSI: il comportamento post-sfruttamento

Una volta ottenuto l’accesso, gli operatori non si sono limitati alla verifica della vulnerabilità. Secondo il resoconto del Vega Research Team, l’intrusione ha incluso una fase di ricognizione con esecuzione di comandi di sistema quali whoami, ipconfig e tasklist, tipici di un’attività di discovery interna volta a mappare l’ambiente compromesso. Questo schema comportamentale conferma che l’obiettivo non è solo dimostrare l’exploit, ma preparare il terreno per successive azioni sul bersaglio.

Nella stessa sequenza è stato osservato il tentativo di utilizzare un installer MSI denominato fanwei0324.msi, il cui nome romanizza il vendor cinese Fanwei. Il file è stato impiegato per tentare il pivoting, ma non ha prodotto un’installazione funzionante. Non è noto se il fallimento dipenda da un difetto del payload, da contromisure ambientali o da un’incompatibilità con la configurazione della vittima; ciò che resta rilevante è l’intenzione di stabilire persistenza attraverso un artefatto mascherato da pacchetto di installazione legittimo.

Perché gli endpoint debug sono il tallone d’Achille degli ERP enterprise

La vicenda mette in luce un pattern ricorrente nelle piattaforme enterprise: la presenza di endpoint di sviluppo o debug attivi in produzione. In Weaver E-cology, l’interfaccia DubboApi debug è progettata per scopi interni, ma la sua esposizione pubblica trasforma una funzionalità ausiliaria in un vettore critico. Gli ERP e i sistemi OA centralizzano processi sensibili, dall’approvazione documentale alla gestione delle risorse umane, rendendo un RCE non autenticato particolarmente devastante per la confidenzialità e l’integrità operative.

La gravità del rischio non si misura solo sul punteggio CVSS. L’endpoint vulnerabile non richiede credenziali, il che elimina ogni barriera di accesso e consente a un attaccante di interagire direttamente con il motore applicativo. In assenza di segmentazione di rete o di controlli di accesso aggiuntivi, la compromissione di un singolo nodo esposto può propagarsi lateralmente verso repository documentali, database interni e sistemi di autenticazione aziendale.

Cosa fare adesso

• Applicare la patch 20260312 su tutte le istanze di Weaver E-cology 10.0 senza attendere finestre di manutenzione programmate; la vulnerabilità è attivamente sfruttata e il vettore è non autenticato.
• Verificare la raggiungibilità dell’endpoint /papi/esearch/data/devops/dubboApi/debug/method da internet e da reti non autorizzate; se l’accesso non è strettamente necessario, deve essere bloccato a livello di firewall o WAF.
• Ispezionare i log delle richieste POST dirette verso il percorso DubboApi, cercando parametri interfaceName e methodName anomali o non associati a flussi di lavoro legittimi.
• Eseguire threat hunting sui sistemi per rilevare tracce dei comandi whoami, ipconfig, tasklist eseguiti dal contesto del server applicativo, oltre alla presenza del file fanwei0324.msi o di connessioni verso infrastrutture esterne sospette.

La vicenda conferma che la superficie di attacco più pericolosa non è sempre una vulnerabilità sconosciuta, ma una funzionalità di sviluppo dimenticata in produzione. In un ecosistema enterprise dove gli ERP centralizzano dati sensibili e flussi operativi, lasciare un endpoint debug esposto equivale a tenere una porta sul retro aperta. La misura del rischio non si limita al punteggio CVSS, ma si estende alla velocità con cui gli attaccanti convertono una patch in un’arma operativa.

Domande frequenti

Che differenza c’è tra la data di rilevazione di Vega (17 marzo) e quella di Shadowserver (31 marzo)?

Vega Research Team ha documentato le evidenze più antiche di abuse, mentre Shadowserver Foundation ha segnalato i primi segni di exploitation attiva rilevati sulla propria rete di sensori. Le due date non si escludono: indicano che la campagna è iniziata in modo circoscritto ed è poi emersa su scala più ampia.

Perché l’installer MSI fanwei0324.msi non ha funzionato?

Secondo il resoconto del Vega Research Team, il file non ha prodotto un’installazione funzionante. Non è noto se il fallimento dipenda da un errore tecnico del payload, da una contromisura ambientale o da un artefatto ancora in fase di sviluppo.

È sufficiente applicare la patch 20260312 o è necessario anche disabilitare l’endpoint debug?

La patch è il primo passo obbligatorio. Tuttavia, la raccomandazione prioritaria resta quella di verificare che l’endpoint non sia raggiungibile pubblicamente, riducendo la superficie di attacco indipendentemente dallo stato di aggiornamento.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/05/weaver-e-cology-rce-flaw-cve-2026-22679.html
• https://news.fyself.com/weaver-e-cology-rce-flaw-cve-2026-22679-can-be-actively-exploited-via-the-debug-api/
• https://thomasharris6.wordpress.com/2026/05/05/weaver-e-cology-rce-flaw-cve-2026-22679-actively-exploited-via-debug-api/
• https://cubexgroup.com/rss_feeds/weaver-e-cology-rce-flaw-cve-2026-22679-actively-exploited-via-debug-api/