Image credit: magnific
Celaka! Peretas Jalankan RCE Tanpa Login – Para peretas dilaporkan telah mengeksploitasi kerentanan kritis (CVE-2026-22679) pada platform otomatisasi kantor Weaver E-cology.
Sejak pertengahan Maret lalu, serangan ini bertujuan untuk menjalankan perintah pemindaian sistem (discovery commands) secara ilegal.
Hal yang mengkhawatirkan adalah serangan dimulai hanya lima hari setelah vendor merilis pembaruan keamanan, dan dua minggu sebelum informasi kerentanan tersebut diungkapkan secara publik.
Weaver E-cology sendiri merupakan platform kolaborasi dan otomatisasi kantor (OA) yang banyak digunakan oleh organisasi besar, untuk manajemen dokumen, alur kerja HR, dan proses bisnis internal.
|
Baca juga: Perang Siber Baru Identitas vs AI Otonom |
Anatomi Celah Keamanan CVE-2026-22679
Kerentanan ini memiliki profil risiko yang sangat tinggi karena memungkinkan eksekusi kode jarak jauh (Remote Code Execution/RCE) tanpa memerlukan autentikasi terlebih dahulu.
Celah ini ditemukan pada Weaver E-cology versi 10.0 dengan build sebelum 12 Maret 2026. Secara teknis, masalah ini disebabkan oleh:
- Adanya endpoint API untuk kebutuhan debugging yang terekspos secara publik.
- Parameter yang diberikan pengguna diteruskan langsung ke fungsi Remote Procedure Call (RPC) di sisi backend tanpa adanya autentikasi atau validasi input yang ketat.
- Penyerang dapat menyuntikkan nilai tertentu yang kemudian dieksekusi sebagai perintah sistem pada server, secara efektif mengubah endpoint tersebut menjadi antarmuka eksekusi perintah jarak jauh.
Kronologi dan Fase Serangan
Berdasarkan laporan dari peneliti keamanan, aktivitas serangan ini berlangsung selama kurang lebih satu minggu dengan beberapa fase yang berbeda:
- Penyerang pertama-tama memastikan kemampuan RCE dengan memicu perintah ping dari proses Java menuju alamat callback luar.
- Setelah dipastikan berhasil, mereka mencoba mengunduh berbagai muatan berbasis PowerShell. Namun, pada tahap ini, sebagian besar upaya tersebut berhasil diblokir oleh pertahanan titik akhir (endpoint defenses).
- Penyerang sempat mencoba mengerahkan penginstal MSI khusus bernama fanwei0324.msi, namun gagal dieksekusi dengan benar.
- Setelah upaya tersebut gagal, penyerang kembali ke metode RCE menggunakan PowerShell yang dikaburkan (obfuscated) dan bersifat fileless (tanpa file fisik di disk) untuk mengambil skrip jarak jauh secara berulang.
- Di sepanjang serangan, aktor ancaman terus menjalankan perintah pengintaian sistem seperti whoami, ipconfig, dan tasklist untuk memetakan struktur jaringan internal korban.
Meskipun penyerang memiliki peluang besar melalui eksploitasi RCE ini, peneliti mencatat bahwa mereka tidak pernah berhasil membangun sesi persisten (akses tetap) pada inang (host) yang ditargetkan dalam kasus yang diamati.
|
Baca juga: Malware TikTok Berkedok Aktivasi Gratis |
Perlindungan & Rekomendasi Pembaruan
Mengingat kerentanan ini sangat kritis dan tidak ada metode mitigasi alternatif atau workaround yang tersedia secara resmi, satu-satunya solusi adalah melakukan pembaruan sistem.
Berikut adalah langkah-langkah mitigasi yang harus segera diambil oleh organisasi:
- Sangat disarankan untuk segera menerapkan pembaruan keamanan ke build 20260312 atau yang lebih baru. Pembaruan ini bekerja dengan menghapus seluruh endpoint debug yang bermasalah.
- Cari setiap proses mencurigakan yang memiliki proses induk (parent) bernama java.exe (JVM milik Tomcat yang dipaketkan Weaver), terutama jika proses tersebut dijalankan tanpa adanya riwayat autentikasi sebelumnya.
- Aktifkan pemantauan ketat terhadap penggunaan PowerShell yang tidak biasa di lingkungan server, terutama perintah yang mencoba melakukan koneksi keluar (outbound) untuk mengambil skrip dari internet.
- Batasi akses ke antarmuka administratif atau otomatisasi kantor hanya untuk jaringan internal perusahaan atau melalui VPN guna memperkecil permukaan serangan.
- Pastikan solusi keamanan Anda memiliki fitur deteksi perilaku yang dapat mengenali teknik fileless dan perintah pengintaian sistem yang dijalankan oleh proses aplikasi web.
Kerentanan “Day Zero”
Kasus Weaver E-cology menunjukkan betapa cepatnya aktor ancaman merespons perilisan tambalan keamanan untuk melakukan rekayasa balik (reverse engineering)
Yakni yang bertujuan untuk menemukan celah yang dimaksud sebelum pengguna sempat melakukan pembaruan. Di sini unsur kecepatan sangat bermain.
Di tahun 2026, jendela waktu antara perilisan tambalan dan eksploitasi aktif semakin menyempit, organisasi dituntut memiliki prosedur pembaruan yang tangkas.
Dan sistem deteksi dini yang mampu mengidentifikasi anomali pada aplikasi bisnis kritis sebelum akses ilegal berubah menjadi kompromi data yang lebih dalam.
Sumber berita:
