Oracle WebLogic Serverの最高度の脆弱性は現在野生環境で積極的に悪用されており、脅威アクターはGitHubで公開的なエクスプロイトコードがリリースされたその同じ日に攻撃を開始しました。
CVE-2026-21962として追跡されるこの欠陥は、完璧なCVSSスコア10.0を持っており、脆弱性に対する最高の評価です。
認証されていない攻撃者が、任意をリモート実行でき、認証情報なしに脆弱なWebLogicサーバー上のオペレーティングシステムコマンドを実行できます。
悪用は2026年1月22日に始まり、これは概念実証コードが公開されたその正確な日であり、組織にはほぼ対応時間がありませんでした。
データは、この欠陥を標的とした自動スキャンと悪用試行の即座で攻撃的な急増をキャプチャしました。
攻撃者はCVE-2026-21962を悪用する際に、パストトラバーサル技術を使用してプロキシエンドポイントに到達する特別に作成されたHTTP GETリクエストを送信します。
このトリックはサーバーの認証層を完全にバイパスし、敵対者が基盤となるオペレーティングシステム上で任意のコマンドを実行でき、影響を受けたサーバーを事実上完全に制御できます。
攻撃インフラストラクチャは主にレンタルされた仮想プライベートサーバー上に構築されており、HOSTGLOBAL.PLUSおよびDigitalOceanなどのホスティングプロバイダーが攻撃の真の起源をマスクし、操作をスケールするために頻繁に悪用されます。
ボットネットスキャナーlibredtail-httpおよびNmap Scripting Engineなどの自動化ツールが最大量の悪意のあるリクエストを生成しました。
ハニーポットはまた、脅威アクターが放棄を拒否した同等に重大な複数の古いWebLogic脆弱性の持続的な悪用も検出しました:
研究者はまた、広範な「スプレー・アンド・プレイ」戦略を指摘しており、攻撃者はハニーポットサーバーをプローブしてOracle以外の欠陥を探しており、よく知られているHikvisionおよびPHPUnit脆弱性を含む、脅威アクターが汎用ウェブ偵察ツールをいかに迅速に適応させて利用可能なエントリポイントを見つけるかを示しています。
セキュリティチームは、露出を減らすために遅延なく行動する必要があります:
公開開示に続く即座の悪用のパターンは、重大なセキュリティの真実を強化します:最高度の脆弱性については、パッチウィンドウは週ではなく時間で測定されます。
翻訳元: https://cyberpress.org/weblogic-remote-code-execution-flaws/