Hackers Actively Exploit Critical WebLogic RCE Vulnerabilities in Ongoing Attacks
2026/04/01 gbhackers — Oracle WebLogic Server に存在する、リモート・コード実行 (RCE) 脆弱性 CVE-2026-21962 (CVSS:10.0) が、実環境の未認証の攻撃者により積極的に悪用されている。最新のハニーポット調査によると、2026年1月22日に GitHub 上でエクスプロイト・コードが公開された当日に、この脆弱性の悪用が開始されている。
12日間の観測期間において研究者たちが展開したのは、脆弱な Oracle WebLogic Server を模倣した高インタラクション型のハニーポットである。CVE-2026-21962 を標的とする自動的なスキャン/攻撃の試行が急増したことを、そこから収集されたデータが示していた。
攻撃者たちは、パス・トラバーサルを悪用する HTTP GET リクエストを、プロキシ・エンドポイントへ送信することで認証を回避し、任意の OS コマンド実行に成功していた。
- CVE-2026-21962 (CVSS 10.0):WebLogic コンソールにおける最大深刻度の欠陥であり、未認証攻撃者がパス・トラバーサルを用いた細工済み HTTP GET リクエストにより任意の OS コマンドを実行可能となる。
過去の WebLogic 脆弱性
このハニーポットで観測されたものには、この新たな脅威だけではなく、WebLogic における旧来の深刻な脆弱性に対する継続的な攻撃もあった。そこに含まれるのは、コンソール RCE の脆弱性 CVE-2020-14882/CVE-2020-14883 や、IIOP プロトコル RCE の脆弱性 CVE-2020-2551、WLS-WSAT デシリアライズ RCE の脆弱性 CVE-2017-10271 などがある。
- CVE-2020-14882/CVE-2020-14883 (CVSS 9.8):これらの脆弱性を悪用する攻撃者は、管理コンソールに悪意のある HTTP POST リクエストを送信することで、認証の回避/サーバの完全制御を可能とする。
- CVE-2020-2551 (CVSS 9.8):IIOP プロトコルにおける深刻なデシリアライズ欠陥である。この脆弱性を悪用する攻撃者は、細工された Java オブジェクトを脆弱な JNDI コンソール・エンドポイントへ送信することでリモート・コード実行を可能にする。
- CVE-2017-10271 (CVSS 9.8): 旧来ながら、依然として標的とされる脆弱性である。この脆弱性を悪用する攻撃者は、細工された XML ファイルを Web Services Atomic Transactions (WLS-WSAT) コンポーネントへ送信することで悪意のコード実行を可能にする。
この状況が示唆するのは、実績ある脆弱性セットを効率よく悪用する脅威アクターたちが、グローバルなエンタープライズ・インフラを侵害し続けている状況である。
一連の悪意のアクティビティは、自動化された高頻度のスキャンを特徴とし、レンタル VPS (Virtual Private Server) から発信されていた。HOSTGLOBAL.PLUS/DigitalOcean などのホスティング・プロバイダーが、攻撃元の隠蔽/スケール拡大のために悪用されていた。
攻撃者たちは複数の自動化ツールを使用しており、その中でボットネット・スキャナ libredtail-http/Nmap Scripting Engine などが、最も多くの悪意のリクエストを生成していた。
Cloud SEK の研究者たちが確認したものには、パブリック・インフラ全体に対する広範なスプレー&プレイ型の攻撃もあった。このハニーポットに対して、攻撃者たちは Oracle 以外の脆弱性も継続的に探索し、Hikvision/PHPUnit の既知の欠陥も標的としていた。それが示すのは、汎用 Web 偵察ツールを迅速に適応させる脅威アクターたちが、あらゆる侵入経路を探索していることである。
重要なパッチ適用要件
セキュリティ・チームにとって必要なことは、これらの深刻な RCE 脆弱性に対して速やかにパッチを適用し、エンタープライズ・ネットワークを保護することだ。
特に、2026年1月 の Oracle Critical Patch Updates の緊急適用が必要である。このアップデートにより、すべての影響を受ける WebLogic/Proxy コンポーネントに対して、脆弱性 CVE-2026-21962 の修正が優先的に適用される。
それに加えて、WebLogic 管理コンソールをインターネットへ直接公開してはならない。厳格なファイアウォール・ルール/VPNや、分離された内部ネットワークなどにより、アクセスを制限する必要がある。さらに、IIOP/T3/WLS-WSAT などの重要プロトコルへのアクセスは、信頼されていないネットワーク・セグメントから遮断する必要がある。
組織は WAF を導入し、悪意のトラフィックを積極的にフィルタリングする必要がある。セキュリティ・チームは、パス・トラバーサル・シーケンス/ ProxyServlet を標的とする、エクスプロイト・シグネチャを検知するためのルールを設定する必要がある。
最後に、wget/curl の突発的な実行といった、異常イベントに対するログ監視を強化することで、侵害の早期検知が可能となる。
訳者後書:Oracle WebLogic Server の脆弱性である CVE-2026-21962 が、実環境で積極的に悪用され続けています。この脆弱性を悪用する攻撃者は、認証を必要とせずに外部から OS コマンドを実行できます。攻撃者はパス・トラバーサルという手法を悪用し、本来アクセスできない領域を操作することで、システムの制御権を奪おうとします。また、過去に報告された CVE-2020-14882 や CVE-2017-10271 といった既知の脆弱性も、依然として攻撃の入り口として狙われています。これらは、設定の不備や修正プログラムの未適用を突くものであり、自動化されたツールにより日々スキャンされています。ご利用のチームは、ご注意ください。よろしければ、2026/01/21 の「Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX:深刻なインフラ露出の可能性」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.