駭客積極嘗試利用Oracle WebLogic遠端執行程式碼重大漏洞,攻擊活動急遽升溫
一句話版本
Oracle WebLogic 一個今年 1 月公開、可直接遠端執行程式碼的滿分漏洞,已經由概念驗證變成明顯升溫的真實攻擊,所以只要我哋仲有未修補或對外暴露嘅 WebLogic,就唔係理論風險。
點解重要
- 漏洞已經進入「公開工具帶動實戰攻擊」階段
- 呢單最值得留意唔係漏洞本身有幾嚴重,而係 GitHub 上一有偵測同利用程式碼,蜜罐就見到掃描流量急升,代表攻擊門檻已經被拉低,唔需要高階對手都可以跟住打。
- CVE-2026-21962 係未驗證就可打入去嘅 RCE
- 呢類漏洞最麻煩係唔靠帳號、唔靠社工,對方只要經 HTTP 摸到服務就有機會直接落手,對外暴露面一大,風險就會幾何級放大。
- WebLogic 已經成為持續被自動化鎖定嘅目標
- 研究唔只見到新漏洞,仲見到多個舊 WebLogic RCE 同時被掃,反映攻擊者唔係針對單一編號,而係將 WebLogic 視為一整類可規模化收割嘅標的。
- 「舊洞未補」一樣會被翻出嚟打
- 文中點名 2020 同 2017 幾個高風險漏洞仍然有人掃,意思係資產只要補丁落後,唔會因為漏洞年份舊就自然安全,反而會成為最容易中招嗰批。
- 攻擊型態偏向高流量、自動化探測
- 使用 VPS 做大規模掃描,顯示對手重點係先快速枚舉可打主機,再批量利用;對營運方嚟講,偵測窗口會更短,唔能夠等到有明顯入侵跡象先處理。
- 管理介面暴露本身就係風險放大器
- 報導特別提醒唔好將 WebLogic 管理介面直接放上公網,因為對手而家已經喺主動掃,任何唔必要嘅外露面都會由「可能被見到」變成「好快會被試」。
- 蜜罐已經觀察到趨勢升溫,代表攻擊唔係孤例
- 呢個訊號比單一受害個案更重要,因為佢講緊係普遍化活動增加,即係我哋要用「正在擴散」而唔係「偶發事件」去評估風險。
- 對防守團隊嚟講,修補速度已經直接等於風險高低
- 當漏洞、利用碼、掃描活動三樣齊晒,安全差距通常唔再取決於防護產品多唔多,而係你幾快完成修補、隔離同收窄暴露面。
我哋點睇
- 如果我哋環境內仲有 WebLogic,應該即刻當成存量風險盤點對象,先確認有冇對外開放、版本係咪受影響、舊 CVE 有冇歷史包袱,而唔係只睇最新嗰個編號。
- 事件處理上要將「管理介面是否上網」列為優先檢查項,因為呢個係最直接影響被掃到同被打到機率嘅設定。
- 偵測策略唔好只寫單一 IOC;更實際係針對 WebLogic 相關 HTTP 掃描、異常管理路徑存取、以及來自雲端 VPS 的高頻探測流量做告警,先跟得上而家呢種自動化打法。
- 如果要對內匯報,重點唔係講「有新漏洞」,而係講「公開利用碼已經推高大規模掃描」,咁先合理支持即時修補窗口同臨時封網措施。