В мире корпоративной информационной безопасности время между обнаружением уязвимости и первой атакой сокращается до рекордных значений. Ярким подтверждением этой тревожной тенденции стала ситуация вокруг новой критической уязвимости в популярном сервере приложений Oracle WebLogic Server, получившей идентификатор CVE-2026-21962. Эта проблема, позволяющая выполнять произвольный код на сервере без аутентификации (RCE), получила максимально возможную оценку по шкале CVSS - 10.0 баллов, что подчеркивает её исключительную опасность. Согласно свежим данным исследования с использованием ловушек (honeypot), массовые автоматизированные попытки эксплуатации начались буквально в тот же день, 22 января 2026 года, когда исходный код эксплойта был опубликован на GitHub. Это создает крайне узкое окно для реагирования у тысяч компаний по всему миру, чья инфраструктура зависит от данного ПО.
Детали уязвимостей
Исследователи развернули высокоинтерактивную ловушку, имитирующую уязвимый сервер Oracle WebLogic, на двенадцатидневный период наблюдений. Полученные данные показали мгновенный всплеск сканирования и атакующих попыток. Механизм эксплуатации CVE-2026-21962 основан на отправке специально сформированных HTTP GET-запросов, использующих технику обхода пути (path traversal) для обращения к прокси-эндпоинтам. Это позволяет злоумышленнику полностью обойти проверку подлинности и выполнить произвольные команды операционной системы на целевом сервере, что открывает путь к полному контролю над системой. Между тем, угроза для администраторов WebLogic не ограничивается новой уязвимостью. Анализ трафика ловушки выявил постоянные, ни на день не прекращающиеся атаки на целый ряд старых, но не менее критических проблем в этом продукте.
В поле зрения исследователей попали такие известные уязвимости, как CVE-2020-14882 и CVE-2020-14883 (позволяющие обойти экран входа в консоль администрирования), CVE-2020-2551 (проблема десериализации в протоколе IIOP) и CVE-2017-10271 (уязвимость в компоненте Web Services Atomic Transactions, WLS-WSAT). Все они имеют высочайший рейтинг опасности (CVSS 9.8) и также приводят к удаленному выполнению кода. Упорное использование хакерами этого проверенного набора эксплойтов, некоторые из которых были раскрыты ещё в 2017 году, красноречиво свидетельствует о том, что множество корпоративных систем по-прежнему не защищены от базовых, но эффективных угроз. Это превращает их в легкую добычу для злоумышленников, которые продолжают методично сканировать интернет в поисках устаревшего и непропатченного программного обеспечения.
Характер зловредной активности отличался высоким уровнем автоматизации и масштабирования. Большинство атак исходило с арендованных виртуальных приватных серверов (VPS), при этом хостинг-провайдеры, такие как HOSTGLOBAL.PLUS и DigitalOcean, часто непреднамеренно использовались для сокрытия истинного источника атак и увеличения их объема. Для сканирования и эксплуатации применялись различные автоматизированные инструменты, среди которых по количеству вредоносных запросов лидировали сканер ботнета libredtail-http и движок сценариев Nmap (Nmap Scripting Engine). Исследователи из Cloud SEK также отметили тактику "разбрызгивания и молитвы" (spray and pray) по всей открытой инфраструктуре. Помимо целевых атак на WebLogic, злоумышленники непрерывно зондировали сервер-ловушку на предмет других, не связанных с Oracle, уязвимостей, включая известные проблемы в продуктах Hikvision и PHPUnit. Это подчеркивает, насколько быстро угрозовые акторы адаптируют универсальные инструменты веб-разведки для поиска любого возможного вектора атаки, не ограничиваясь одной конкретной целью.
Для защиты корпоративных сетей от этой волны критических RCE-уязвимостей командам безопасности необходимо предпринять срочные меры по исправлению. Администраторам в первую очередь требуется незамедлительно установить критические обновления Oracle (Critical Patch Update) за январь 2026 года, которые содержат исправление для CVE-2026-21962 во всех затронутых компонентах WebLogic и прокси. Крайне важно пересмотреть архитектуру развертывания: консоль администрирования WebLogic ни при каких обстоятельствах не должна быть напрямую доступна из публичного интернета. Доступ к ней необходимо ограничивать строгими правилами межсетевого экрана, организовывать через VPN или изолированные внутренние сети. Кроме того, следует ограничить сетевой доступ к чувствительным протоколам, таким как IIOP/T3 и WLS-WSAT, с непроверенных сетевых сегментов.
Внедрение межсетевого экрана веб-приложений (Web Application Firewall, WAF) поможет активно фильтровать входящий вредоносный трафик. Командам безопасности необходимо убедиться, что правила WAF настроены на обнаружение последовательностей обхода пути (path traversal) и известных сигнатур эксплойтов, нацеленных на компонент ProxyServlet. Наконец, усиление мониторинга логов для выявления необычных событий, например, внезапного выполнения команд вроде wget или curl на серверах, может помочь в раннем обнаружении успешных взломов. В условиях, когда время на установку заплаток исчисляется часами, а не днями, именно комплексный подход, сочетающий своевременное обновление, грамотную сегментацию сети и активный мониторинг, становится ключом к безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2017-10271
- https://www.cve.org/CVERecord?id=CVE-2020-14882
- https://www.cve.org/CVERecord?id=CVE-2020-14883
- https://www.cve.org/CVERecord?id=CVE-2020-2551
- https://www.cve.org/CVERecord?id=CVE-2026-21962
- https://www.cloudsek.com/blog/honey-for-hackers-a-study-of-attacks-targeting-the-recent-cve-2026-21962-and-other-critical-weblogic-vulnerabilities-on-a-high-interactive-oracle-honeypot
