DEEP DIVE REPORT

Weaver E-cology·MetInfo CMS RCE 취약점 악용: 기업용 웹 시스템 제로데이/원데이 대응 전략

SecurityDesk
2026.05.07 조회 14

취약점 개요

최근 중국 기반 기업용 웹 시스템인 Weaver E-cology(泛微OA)와 MetInfo CMS에서 치명적인 원격 코드 실행(RCE) 취약점이 발견되어 실제 악용이 확인되었다. 두 취약점 모두 인증 없이 원격에서 임의의 코드를 실행할 수 있는 Critical 수준의 보안 결함으로, 패치 출시 후 며칠 내에 악용이 시작되어 제로데이/원데이 공격의 위험성을 다시금 상기시킨다.

CVE-2026-22679: Weaver E-cology RCE

  • CVSS 점수: 9.8 (Critical)
  • 영향 버전: Weaver E-cology 10.0 (20260312 이전 버전)
  • 취약점 유형: 인증되지 않은 원격 코드 실행 (Unauthenticated RCE)
  • 취약 엔드포인트: /papi/esearch/data/devops/dubboApi/debug/method
  • 취약점 설명: 디버그 기능이 노출된 엔드포인트를 통해 공격자가 임의의 인터페이스명과 메서드명을 포함한 POST 요청을 작성하여 명령 실행 템플릿에 도달하고 시스템에서 임의 명령 실행을 달성할 수 있다. NVD(NIST National Vulnerability Database) 설명에 따르면 "공격자는 공격자가 제어하는 interfaceName과 methodName 매개변수가 포함된 POST 요청을 작성하여 명령 실행 템플릿에 도달하고 시스템에서 임의 명령 실행을 달성할 수 있다."
  • 패치 출시: 2026년 3월 12일
  • 첫 악용 확인: 2026년 3월 17일 (패치 출시 5일 후)
  • 활성 악용 확인: 2026년 3월 31일 (Shadowserver Foundation)

CVE-2026-29014: MetInfo CMS RCE

  • CVSS 점수: 9.8 (Critical)
  • 영향 버전: MetInfo CMS 7.9, 8.0, 8.1
  • 취약점 유형: 인증되지 않은 PHP 코드 주입 (Unauthenticated PHP Code Injection)
  • 취약 파일: /app/system/weixin/include/class/weixinreply.class.php
  • 취약점 설명: Weixin(WeChat) API 요청 시 사용자 제공 입력의 적절한 중성화가 부족하여, 원격 공격자가 악성 PHP 코드가 포함된정교하게 설계된 요청을 전송하여 원격 코드 실행을 달성하고 영향을 받는 서버를 완전히 제어할 수 있다.
  • 패치 출시: 2026년 4월 7일
  • 악용 시작: 2026년 4월 25일
  • 악용 급증: 2026년 5월 1일 (중국 및 홍콩 IP 집중)
  • 노출 인스턴스: 약 2,000개 (주로 중국)

공격 동작 및 악용 분석

Weaver E-cology 악용 패턴

이스라엘 사이버보안 기업 Vega Research Team의 분석에 따르면, CVE-2026-22679 악용은 다음과 같이 진행되었다:

  1. RCE 검증: 공격자가 취약 엔드포인트에 핑(Ping) 콜백을 통해 취약점 존재 확인
  2. 페이로드 전송 속도: 3회의 실패한 페이로드 전송 시도
  3. 지속성 확보 시도: MSI 임플란트("fanwei0324.msi")를 통한 지속성 확보 시도 (실패)
  4. PowerShell 페이로드 검색: 공격자가 제어하는 인프라에서 PowerShell 페이로드 검색 시도
  5. 정보 수집: whoami, ipconfig, tasklist 등의 발견 명령어 실행

특히 주목할 점은 공격자가 지속적인 셸이 필요하지 않았다는 것이다. Vega 연구원 Daniel Messing은 "운영자는 지속적인 셸이 필요하지 않았다: 디버그 엔드포인트가 셸이며, 엄격한 요청/응답 의미 체계를 가진다. 이것이 페이로드 전송과 발견가 동시에 발생할 수 있는 이유이기도 하다: 둘 다 동일한 엔드포인트에 대한 다른 POST 본문"이라고 설명했다.

MetInfo CMS 악용 패턴

VulnCheck 보안 연구 부사장 Caitlin Condon의 분석에 따르면:

  1. 초기 악용 (2026년 4월 25일): 미국과 싱가포르의 허니팟(Honeypot)에 대한 "소수의 악용"이 감지. 초기에는 자동화된 프로빙(Probing)과 관련된 것으로 판단됨.
  2. 악용 급증 (2026년 5월 1일): 중국과 홍콩 IP 주소를 중심으로 활동이 급증.
  3. 노출 규모: 인터넷에 접근 가능한 약 2,000개의 MetInfo CMS 인스턴스가 확인되며, 대부분 중국에 위치.

공격 전제조건으로, MetInfo가 윈도우가 아닌 서버에서 실행되는 경우 /cache/weixin/ 디렉토리가 미리 존재해야 한다. 이 디렉토리는 공식 WeChat 플러그인을 설치 및 구성할 때 생성된다.

기술적 심층 분석

Weaver E-cology 취약점 기술적 세부사항

Weaver E-cology는 중국에서 널리 사용되는 기업용 협업 플랫폼으로, 포털, 워크플로우, 지식 관리, 프로젝트, 고객, 자산, 커뮤니케이션 등을 관리하는 기능을 제공한다. 이 취약점의 핵심은 개발/운영 환경에서 디버깅 목적으로 노출된 엔드포인트가 프로덕션 환경에서도 활성화되어 있다는 점이다.

취약한 엔드포인트 구조:

POST /papi/esearch/data/devops/dubboApi/debug/method
Content-Type: application/json
{
  "interfaceName": "공격자가 제어하는 인터페이스",
  "methodName": "공격자가 제어하는 메서드"
}

이 엔드포인트는 적절한 인증과 권한 검사 없이 시스템 명령을 실행할 수 있는 메서드를 호출할 수 있게 한다.

MetInfo CMS 취약점 기술적 세부사항

MetInfo는 PHP와 MySQL에 의존하는 엔터프라이즈 CMS로, 다양한 SEO 최적화 기능을 제공한다. 취약점의 루트 원인은 Weixin API 요청 처리 시 사용자 입력의 적절한 검증이 누락된 것이다.

취약 코드 경로:

/app/system/weixin/include/class/weixinreply.class.php

이 파일에서 Weixin API 요청을 처리할 때 사용자 제공 데이터가 적절히 필터링되지 않고 PHP 코드 실행 경로에 직접 전달되어, 공격자가 임의의 PHP 코드를 주입할 수 있다.

공격 전제조건:
- /cache/weixin/ 디렉토리가 존재해야 함 (WeChat 플러그인 설치 시 생성)
- 윈도우가 아닌 서버의 경우 이 디렉토리가 필수적

탐지 및 완화 방안

탐지 방법

Weaver E-cology 탐지

안연구원 Kerem Oruc이 개발한 Python 기반 탐지 스크립트를 사용하여 취약한 Weaver E-cology 인스턴스를 식별할 수 있다. 이 스크립트는 취약한 API 엔드포인트가 접근 가능한지 확인한다.

수동 탐지 방법:
1. 시스템 버전 확인: 20260312 이전 버전인지 확인
2. 디버그 엔드포인트 접근 시도: /papi/esearch/data/devops/dubboApi/debug/method 엔드포인트에 대한 접근 제한 확인
3. 로그 모니터링: 이상적인 POST 요청 패턴(대량의 실패, 알 수 없는 interfaceName/methodName) 모니터링

MetInfo CMS 탐지

수동 탐지 방법:
1. 버전 확인: MetInfo 7.9, 8.0, 8.1 버전 사용 여부 확인
2. 영향 파일 존재 확인: /app/system/weixin/include/class/weixinreply.class.php 파일 존재 및 수정 여부 확인
3. WeChat 플러그인 사용 여부 확인: /cache/weixin/ 디렉토리 존재 여부 확인
4. 로그 분석: Weixin API 요청 로그에서 비정상적인 패턴(알 수 없는 파라미터, PHP 코드 주입 시도) 탐지

완화 조치

즉시 대응 (24시간 이내)

Weaver E-cology:
1. 시스템 패치: 20260312 이상 버전으로 즉시 업그레이드
2. 방화벽 규칙: 외부에서 /papi/esearch/data/ 경로로의 접근 차단
3. 네트워크 세그먼테이션: OA 시스템을 인터넷에서 격리
4. 계정 감사: 관리자 계정의 이상 활동 로그 감사

MetInfo CMS:
1. 시스템 패치: 2026년 4월 7일 출시된 패치 즉시 적용
2. WeChat 플러그인 비활성화: 당분간 WeChat 연동 기능 비활성화
3. WAF 규칙: /app/system/weixin/ 경로로의 비정상적인 요청 차단
4. 파일 권한 감사: weixinreply.class.php 파일의 실행 권한 제한 감사

단기 대응 (72시간 이내)

  1. 취약점 스캔: 조직 내 모든 Weaver E-cology 및 MetInfo CMS 인스턴스 스캔
  2. 인벤토리 관리: 웹 애플리케이션 자산 인벤토리 업데이트
  3. 보안 모니터링 강화: 네트워크 및 로그 모니터링 강화, IoC(Indicators of Compromise) 배포
  4. 보안 교육: 개발 및 운영팀에 보안 코딩 및 패치 관리 교육

장기 대응 (1주 이내)

  1. 보안 아키텍처 재검토: 디버그 엔드포인트 관리 정책 수립
  2. SDLC 통합: 보안 코딩 가이드라인 개발 프로세스 통합
  3. 패치 관리 자동화: 자동화된 패치 관리 시스템 구축
  4. 침투 탐지 시스템: EDR/XDR 솔루션 도입 및 탐지 규칙 강화

위협 레벨별 대응 우선순위

위협 레벨 즉시 대응 (24시간 이내) 단기 대응 (72시간 이내) 장기 대응 (1주 이내)
Critical 패치 적용, 네트워크 격리, 로그 분석 전체 인벤토리 스캔, 모니터링 강화 보안 아키텍처 재검토, SDLC 개선
High 패치 계획 수립, WAF 규칙 적용 취약점 영향 범위 파악, 보안 교육 패치 관리 자동화, 보안 도구 도입
Medium 패치 우선순위 지정, 모니터링 시작 영향 시스템 식별, 완화 방안 검토 보안 프로세스 개선, 정책 수립
Low 취약점 추적, 패치 일정 계획 위협 인텔리전스 모니터링 정기 보안 검사, 지속적 모니터링

참고문헌

  • The Hacker News: "Weaver E-cology RCE Flaw CVE-2026-22679 Actively Exploited via Debug API" (2026-05-05)
  • The Hacker News: "MetInfo CMS CVE-2026-29014 Exploited for RCE" (2026-05-05)
  • SecurityWeek: "MetInfo, Weaver E-cology Vulnerabilities in Attackers' Crosshairs" (2026-05-05)
  • NVD (NIST): CVE-2026-22679, CVE-2026-29014
  • Vega Research Team: CVE-2026-22679 악용 분석 보고서
  • VulnCheck: CVE-2026-29014 악용 동작 분석
  • Shadowserver Foundation: CVE-2026-22679 활성 악용 관찰

본 컨텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨다면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

← 목록으로 돌아가기

댓글 (0)

댓글을 작성하려면 로그인이 필요합니다.

로그인

아직 댓글이 없습니다.

첫 번째 댓글을 작성해보세요!

IT 도구 서랍

→ Unix: 2025-01-15T09:30:00
→ 날짜: 1736934600

→ ASCII: ABC
→ 문자: 65 66 67

ASCII 코드표 — 클릭하면 입력란에 추가

제어 문자 (0–31)

DecHex약어설명

출력 가능 문자 (32–126)

DecHex문자

확장 ASCII (128–255)

DecHex문자

→ 유니코드: 홍길동
→ 문자: \ud64d\uae38\ub3d9