行業新聞與部落格

根據一項基於蜜罐的新分析，在 2026 年 1 月 22 日至 2 月 3 日期間的攻擊活動顯示，Oracle WebLogic 的一個嚴重漏洞在公開的漏洞利用程式碼釋出後幾乎立即被利用。

該研究重點關注了 CVE-2026-21962，這是一個遠端程式碼執行 (RCE) 漏洞，CVSS 評分為 10.0 。研究發現，攻擊者在漏洞利用程式釋出當天就開始利用該漏洞。

CloudSEK 於 3 月 25 日釋出的這項研究使用了高互動蜜罐，旨在複製真實的 Oracle WebLogic Server 環境。

研究人員記錄了廣泛的自動化掃描和利用嘗試，證實了威脅行為者如何迅速地將新披露的漏洞武器化。

觀察到快速開發利用

最重要的發現是攻擊者迅速利用了 CVE-2026-21962 漏洞。日誌顯示，首次攻擊嘗試發生在 1 月 22 日，也就是漏洞利用程式碼釋出的當天。幾天後，隨著更多攻擊者開始探測暴露在網際網路上的伺服器，出現了更多的掃描活動。

研究人員還觀察到，針對較舊但仍被廣泛利用的 WebLogic 漏洞的持續攻擊企圖，其中包括：

• CVE-2020-14882/14883 控制檯遠端程式碼執行漏洞

• CVE-2020-2551 IIOP 反序列化遠端程式碼執行漏洞

• CVE-2017-10271 WLS-WSAT 反序列化遠端程式碼執行漏洞

這種模式表明攻擊者仍然依賴少數幾個眾所周知的漏洞，這些漏洞對未修補的系統仍然有效。

自動掃描和廣泛攻擊

CloudSEK 證實，觀察到的大多數攻擊都源自於由常見雲提供商託管的租用虛擬專用伺服器。

活動主要由自動化掃描工具主導，包括 libredtail-http 和 Nmap 指令碼引擎。

蜜罐還捕獲了大量非 WebLogic 攻擊，包括命令注入、路徑遍歷嘗試和偵察活動。通用 Web 偵察活動最為頻繁，在 12 天內共收到來自 78 個不同 IP 地址的 967 次請求。

緩解和安全建議

報告總結指出，執行 Oracle WebLogic 伺服器的組織應立即優先考慮補丁程式和防禦控制措施。主要建議包括：

• 立即應用最新的 Oracle 安全補丁

• 限制從網際網路訪問管理控制檯。

• 停用不必要的協議和埠

• 部署 Web 應用程式防火牆過濾

• 監控日誌以發現可疑活動

CloudSEK 警告說：“資料凸顯了各組織迫切需要優先修補 CVE-2026-21962 漏洞並實施強大的分層防禦措施，包括對管理控制檯實施嚴格的訪問控制和 WAF 過濾，以減輕這些未經身份驗證的漏洞利用帶來的嚴重遠端程式碼執行風險。”