行业新闻与博客

根据一项基于蜜罐的新分析，在 2026 年 1 月 22 日至 2 月 3 日期间的攻击活动显示，Oracle WebLogic 的一个严重漏洞在公开的漏洞利用代码发布后几乎立即被利用。

该研究重点关注了 CVE-2026-21962，这是一个远程代码执行 (RCE) 漏洞，CVSS 评分为 10.0 。研究发现，攻击者在漏洞利用程序发布当天就开始利用该漏洞。

CloudSEK 于 3 月 25 日发布的这项研究使用了高交互蜜罐，旨在复制真实的 Oracle WebLogic Server 环境。

研究人员记录了广泛的自动化扫描和利用尝试，证实了威胁行为者如何迅速地将新披露的漏洞武器化。

观察到快速开发利用

最重要的发现是攻击者迅速利用了 CVE-2026-21962 漏洞。日志显示，首次攻击尝试发生在 1 月 22 日，也就是漏洞利用代码发布的当天。几天后，随着更多攻击者开始探测暴露在互联网上的服务器，出现了更多的扫描活动。

研究人员还观察到，针对较旧但仍被广泛利用的 WebLogic 漏洞的持续攻击企图，其中包括：

• CVE-2020-14882/14883 控制台远程代码执行漏洞

• CVE-2020-2551 IIOP 反序列化远程代码执行漏洞

• CVE-2017-10271 WLS-WSAT 反序列化远程代码执行漏洞

这种模式表明攻击者仍然依赖少数几个众所周知的漏洞，这些漏洞对未修补的系统仍然有效。

自动扫描和广泛攻击

CloudSEK 证实，观察到的大多数攻击都源自于由常见云提供商托管的租用虚拟专用服务器。

活动主要由自动化扫描工具主导，包括 libredtail-http 和 Nmap 脚本引擎。

蜜罐还捕获了大量非 WebLogic 攻击，包括命令注入、路径遍历尝试和侦察活动。通用 Web 侦察活动最为频繁，在 12 天内共收到来自 78 个不同 IP 地址的 967 次请求。

缓解和安全建议

报告总结指出，运行 Oracle WebLogic 服务器的组织应立即优先考虑补丁程序和防御控制措施。主要建议包括：

• 立即应用最新的 Oracle 安全补丁

• 限制从互联网访问管理控制台。

• 禁用不必要的协议和端口

• 部署 Web 应用程序防火墙过滤

• 监控日志以发现可疑活动

CloudSEK 警告说：“数据凸显了各组织迫切需要优先修补 CVE-2026-21962 漏洞并实施强大的分层防御措施，包括对管理控制台实施严格的访问控制和 WAF 过滤，以减轻这些未经身份验证的漏洞利用带来的严重远程代码执行风险。”