2026年1月22日から2月3日までの期間を対象とした新しいハニーポットベースの分析によると、重大なOracle WebLogic脆弱性は公開エクスプロイトコードが利用可能になった直後に悪用されました。
この研究はCVE-2026-21962に焦点を当てており、これはCVSSスコア10.0のリモートコード実行(RCE)フローであり、攻撃者がエクスプロイトが公開された当日から脆弱性を悪用し始めたことが判明しました。
CloudSEKによる研究は3月25日に公開され、実際のOracle WebLogicサーバー環境を複製するために設計された高対話型ハニーポットを使用しました。
研究者は広範な自動スキャンと悪用試行を記録し、脅威アクターが新たに公開された脆弱性をどの程度迅速に悪用するかを確認しました。
迅速な悪用が観察された
最も重要な発見は、攻撃者がCVE-2026-21962エクスプロイトを採用するまでのスピードでした。ログは1月22日、エクスプロイトコードが公開された当日に最初の悪用試行が発生したことを示しています。その後数日間に追加のスキャン活動が表示され、より多くの攻撃者がインターネットに公開されているサーバーをプローブし始めました。
研究者はまた、以下の古いながらまだ広く悪用されているWebLogic脆弱性を対象とした継続的な悪用試行も観察しました:
-
CVE-2020-14882/14883コンソールリモートコード実行
-
CVE-2020-2551 IIOPデシリアライゼーションリモートコード実行
-
CVE-2017-10271 WLS-WSATデシリアライゼーションリモートコード実行
このパターンは、攻撃者がパッチが適用されていないシステムに対して依然として有効な少数の周知の脆弱性に頼り続けていることを示しています。
自動スキャンと広範な攻撃
CloudSEKは、観察された攻撃の大部分が一般的なクラウドプロバイダーによってホストされているレンタルバーチャルプライベートサーバーから発信されたことを確認しました。
活動はlibredtail-httpとNmap Scripting Engineを含む自動スキャンツールによって主導されていました。
Oracle WebLogicセキュリティ脆弱性について詳しく読む:Oracle 1月パッチアップデートで320個の脆弱性に対処予定
ハニーポットはまた、コマンド注入、パストラバーサル試行、偵察活動を含む多数のWebLogic以外の攻撃も捕捉しました。汎用のウェブ偵察が最も頻繁な活動であり、12日間の期間に78個のユニークIPアドレスから967リクエストを占めていました。
緩和とセキュリティ推奨事項
レポートは、Oracle WebLogicサーバーを実行している組織が直ちにパッチとディフェンスコントロールを優先すべきと結論づけました。重要な推奨事項は以下のとおりです:
-
最新のOracleセキュリティパッチを直ちに適用する
-
インターネットから管理コンソールアクセスを制限する
-
不要なプロトコルとポートを無効にする
-
Webアプリケーションファイアウォールフィルタリングをデプロイする
-
疑わしい活動についてログを監視する
「このデータは、組織がCVE-2026-21962のパッチを優先し、管理コンソールへの厳格なアクセス制限とWAFフィルタリングを含む堅牢な多層防御を実装する重要かつ直接的な必要性を強調しており、これは認証されていないエクスプロイトによってもたらされる重大なRCEリスクを軽減するためです」とCloudSEKは警告しました。
翻訳元: https://www.infosecurity-magazine.com/news/critical-oracle-weblogic-rce/
