Критическая уязвимость в системе электронного документооборота Weaver E-cology позволяла атакующим выполнять произвольный код без аутентификации: атаки начались ещё до установки патча

Дело в том, что конечная точка POST /papi/esearch/data/devops/dubboApi/debug/method принимает от клиента JSON-параметры interfaceName и methodName. Эти параметры затем передаются в механизм удалённого вызова процедур Dubbo (фреймворк для взаимодействия микросервисов). Без надлежащей проверки входных данных такое обращение может привести к выполнению команд операционной системы. Например, передав значения "com.weaver.rpc.InvokeCommand" и "executeCommand", атакующий получает возможность запускать любые команды от имени сервера приложений. Все процессы, запущенные через эту уязвимость, являются дочерними по отношению к java.exe - виртуальной машине Java (JVM), встроенной в Tomcat, который обслуживает платформу.

Разработчик платформы компания Weaver (Fanwei) выпустила исправление в сборке от 12 марта 2026 года. Обновление полностью удаляет проблемный отладочный интерфейс. Однако, как показали дальнейшие события, далеко не все организации успели своевременно установить патч. Специалисты Vega Threat Research [обнаружили] активную эксплуатацию уязвимости на скомпрометированном хосте уже 17 марта 2026 года - через пять дней после выхода патча и за две недели до того, как об атаках в дикой природе публично сообщил проект Shadowserver (31 марта).

Анализ телеметрии системы обнаружения и реагирования на конечных точках (EDR) позволил восстановить хронологию действий злоумышленника. На протяжении примерно недели оператор выполнял разведку, пытался доставить вредоносное программное обеспечение, маскировался и многократно обращался к удалённым сценариям.

Первая активность зафиксирована 17 марта. Виртуальная машина Java породила три последовательных вызова утилиты ping.exe с обращением к несуществующему хосту в формате http://152.32.173[.]138/<уникальный маркер>. Поскольку адрес не является корректным именем узла, ping не мог сгенерировать ICMP-трафик. Скорее всего, злоумышленник проверял возможность выполнения команд через HTTP-ответ: отладочный интерфейс возвращает вывод команды в теле ответа, и сканер мог искать свой маркер в этом выводе. Инфраструктура с IP-адресом 152.32.173[.]138 связана с инструментом Goby для картирования поверхности атаки и сканирования уязвимостей. Тот же адрес и домен gobygo[.]net ранее фигурировали в отчётах по эксплуатации уязвимости Ivanti EPMM. Однако это не указывает на конкретную группировку, а скорее говорит об использовании готового инструментария.

Спустя три дня, 20-22 марта, оператор предпринял три попытки загрузить исполняемые файлы через PowerShell (оболочка командной строки и язык сценариев Microsoft). Команды вида "downloadfile" по протоколу HTTP пытались сохранить на диск файлы vsgbt.exe, hjchhb.exe и nvm.exe (последний замаскирован под Node Version Manager - популярную утилиту для управления версиями Node.js). Все эти попытки были заблокированы средствами защиты конечных точек. Одна из команд была закодирована в Base64 и использовала подстановку переменных для обхода обнаружения по сигнатуре.

24 марта злоумышленник сменил тактику. Вместо прямых EXE-файлов он попытался развернуть установщик Windows (MSI-пакет) с именем fanwei0324.msi. Название явно указывало на целевую систему (Fanwei - китайское название Weaver) и дату атаки (0324). Файл размещался на удалённом сервере 141.11.89[.]42. Однако установка не удалась: процесс msiexec.exe запустился, но не породил дочерних процессов и не выполнил никаких действий по инсталляции. По всей видимости, MSI-пакет оказался повреждённым или несовместимым.

После неудачи с установщиком оператор вернулся к исходному механизму удалённого выполнения команд через уязвимость. Он предпринял шаги по обходу защиты. Сначала скопировал легитимный файл powershell.exe из системной папки Windows в файл с именем 2.txt. Запуск переименованного интерпретатора помогает обойти детекции, основанные на имени процесса. Затем последовала серия загрузок полезной нагрузки (скриптов) по протоколу HTTP. Использовались как обфусцированные команды со случайным регистром символов и массивами целых чисел, так и чистые строки IEX (New-Object Net.WebClient).DownloadString. Все они были нацелены на получение сценариев с адреса 132.243.172[.]2. Система EDR пометила эти попытки как вредоносные, но часть запросов всё же была выполнена переименованным интерпретатором. Удалось ли скриптам выполниться, остаётся неизвестным - пост-эксплуатационная активность на хосте не наблюдалась.

Важной особенностью атаки стали команды сбора информации, которые выполнялись на всём протяжении инцидента. Злоумышленник запускал whoami, ipconfig и tasklist через тот же отладочный интерфейс. Вывод этих команд возвращался прямо в теле HTTP-ответа, поэтому оператору не требовалось устанавливать постоянный канал управления: сама уязвимость служила "оболочкой" с синхронным запросом-ответом.

Эта история наглядно демонстрирует, как даже одна неотключённая отладочная функция в промышленной системе может привести к полной компрометации сервера. Организациям, использующим Weaver E-cology версии 10.0, следует немедленно проверить, установлено ли обновление от 12 марта. Если патч ещё не применён, необходимо закрыть доступ к конечной точке /papi/esearch/data/devops/dubboApi/debug/method на уровне межсетевого экрана или веб-сервера. Кроме того, рекомендуется усилить мониторинг процессов java.exe, порождающих дочерние процессы (ping, cmd, powershell), и включить сбор полных логов HTTP-запросов для выявления подозрительных POST-обращений. Учитывая, что публичные данные об уязвимости уже появились 31 марта, а атаки начались ещё раньше, вероятность активного сканирования и эксплуатации сохраняется высокой.

IPv4

• 132.243.172.2
• 141.11.89.42
• 152.32.173.138
• 161.132.49.114
• 205.209.116.54

URLs

• http://132.243.172.2/config/xx.ps1
• http://132.243.172.2/w-2026/x.ps1
• http://141.11.89.42/fanwei0324.msi
• http://152.32.173.138/U<16hex>.<8hex>
• http://161.132.49.114/config.js
• http://205.209.116.54:2013/hjchhb.exe
• http://205.209.116.54:2013/vsgbt.exe

SHA256

• 147ac3f24b2b63544d65070007888195a98d30e380f2d480edffb3f07a78377f