TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーが進行中の攻撃で重大なWebLogic RCE脆弱性を積極的に悪用

Oracle WebLogic Serverの最大重大度の脆弱性が、野放しの中で急速に悪用されている。

CVE-2026-21962として追跡されているこの認証なしリモートコード実行(RCE)の脆弱性は、最大CVSS スコア10.0を持っている。

最近のハニーポット研究によると、攻撃者は2026年1月22日(GitHubで公開エクスプロイトコードがリリースされた正確な日)に脆弱性の武器化を開始した。

12日間の観察期間中、研究者たちは脆弱なOracle WebLogic Serverをシミュレートする高対話型ハニーポットをデプロイした。

データはCVE-2026-21962をターゲットにした自動スキャンと悪用試行の即座の急増を明らかにした。

パストトラバーサルを使用してプロキシエンドポイントへの細工されたHTTP GET リクエストを送信することで、攻撃者は認証をバイパスして任意のオペレーティングシステムコマンドを実行することに成功した。

古いWebLogic脆弱性

新しい脅威を超えて、ハニーポットは古い重大なWebLogic脆弱性に対する継続的な攻撃をキャプチャした。

これらにはコンソールRCE(CVE-2020-14882/14883)、IIOPプロトコルRCE(CVE-2020-2551)、およびWLS-WSAT逆シリアル化RCE(CVE-2017-10271)が含まれている。

  • CVE-2026-21962 (CVSS 10.0): これはWebLogic Consoleの最大重大度の欠陥で、パストトラバーサルのトリックを使用した特別に作成されたHTTP GET リクエストを使用して、認証されていない攻撃者が任意のオペレーティングシステムコマンドを実行できる。
  • CVE-2020-14882およびCVE-2020-14883 (CVSS 9.8): この古い脆弱性のペアにより、攻撃者は管理コンソールへの悪意のあるHTTP POST リクエストを送信することで、ログイン画面をバイパスしてサーバーの完全な制御を取得できる。
  • CVE-2020-2551 (CVSS 9.8): これはIIOPプロトコルの重大な逆シリアル化の欠陥で、攻撃者が脆弱なJNDIコンソールエンドポイントに作成されたJavaオブジェクトを送信することでリモートコードを実行できる。
  • CVE-2017-10271 (CVSS 9.8): この古いが非常に標的にされた脆弱性により、攻撃者はWeb Services Atomic Transactions(WLS-WSAT)コンポーネントに特別に作成されたXMLファイルを送信することで、悪意のあるコードを実行できる。

これは脅威アクターが世界中の企業インフラを侵害するために、実証済みの非常に効果的な欠陥のセットに依存し続けていることを示している。

悪意のあるアクティビティは、レンタルされた仮想プライベートサーバーから発信された大量の自動スキャンによって特徴付けられていた。

HOSTGLOBAL.PLUSやDigitalOceanなどのホスティングプロバイダーは、攻撃の起源をマスクし、操作をスケールするために頻繁に悪用された。

敵はさまざまな自動化ツールを使用し、ボットネットスキャナ libredtail-http とNmap Scripting Engineが最も多くの悪意のあるリクエストを占めた。

Cloud SEKの研究者たちは曝露されたインフラストラクチャ全体にわたる広い「スプレーアンドプレイ」アプローチに注目した。攻撃者は、よく知られたHikvisionおよびPHPUnitの欠陥を含む、非Oracleの脆弱性に対してハニーポットサーバーを継続的に調査した。

これは脅威アクターが利用可能なエントリーポイントを識別するために、汎用のWebリコナイサンスツールをどの程度迅速に適応させるかを強調している。

重大なパッチ要件

これらの重大なRCE脆弱性から企業ネットワークを保護するために、セキュリティチームは即座のパッチ適用アクションを実行する必要がある。

管理者は2026年1月のOracle Critical Patch Updatesを緊急にインストールする必要がある。このアップデートは、すべての影響を受けるWebLogicおよびプロキシコンポーネント全体でCVE-2026-21962の修正を優先する。

WebLogic管理コンソールは公開インターネットに直接公開されるべきではない。

アクセスは厳密なファイアウォールルール、VPN、または隔離された内部ネットワークを通じて制限する必要がある。さらに、管理者は信頼されていないネットワークセグメントからIIOP/T3やWLS-WSATなどの機密プロトコルへのネットワークアクセスを制限すべきである。

組織はWeb Application Firewall を実装して、悪意のある受信トラフィックを積極的にフィルタリングする必要がある。

セキュリティチームは、パストトラバーサルシーケンスとProxyServletをターゲットにした既知のエクスプロイト署名を検出するようにルールが構成されていることを確認する必要がある。

最後に、wgetやcurlなどのコマンドの急激な実行など、異常なイベントのログ監視を強化することは、成功した侵害を早期に検出するのに役立つ。

翻訳元: https://gbhackers.com/hackers-exploit-critical-weblogic-rce-vulnerabilities/

ソース: gbhackers.com
#CVE-2026-21962 #Oracle WebLogic #RCE(リモートコード実行) #サイバー脅威 #パストトラバーサル #ハニーポット分析 #ボットネット攻撃 #緊急パッチ #脆弱性悪用 #認証バイパス

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚