概要

Oracle WebLogic Serverで発見された最大深刻度の脆弱性（CVE-2026-21962）が、公開されて間もなく悪用され始めている。この未認証リモートコード実行（RCE）の脆弱性はCVSSスコア10.0を記録し、攻撃者は特別に作成されたHTTP GETリクエストを使用して認証をバイパスし、任意のオペレーティングシステムコマンドを実行している。

脆弱性の詳細

CVE-2026-21962は、WebLogicコンソールで未認証の攻撃者が特別に作成されたHTTP GETリクエストを使用して任意のオペレーティングシステムコマンドを実行できる最大深刻度の脆弱性である。この脆弱性はCVSSスコア10.0を記録している。

過去の脆弱性も悪用

新しい脅威だけでなく、ハニーポット研究では古い重大なWebLogic脆弱性に対する継続的な攻撃が確認された。これらの脆弱性には、コンソールRCE（CVE-2020-14882/14883）、IIOPプロトコルRCE（CVE-2020-2551）、およびWLS-WSATデシリアライゼーションRCE（CVE-2017-10271）が含まれる。

攻撃の特徴

• CVE-2026-21962 (CVSS 10.0)
• CVE-2020-14882およびCVE-2020-14883 (CVSS 9.8)
• CVE-2020-2551 (CVSS 9.8)
• CVE-2017-10271 (CVSS 9.8)

攻撃者の手法

攻撃者は、高頻度の自動化されたスキャンを実行し、HOSTGLOBAL.PLUSやDigitalOceanなどのホスティングプロバイダーを利用して攻撃の起源を隠すか規模を拡大している。また、libredtail-httpとNmap Scripting Engineといった自動化ツールを使用して大量の悪意のあるリクエストを送信した。

対策

企業ネットワークからこれらの重大なRCE脆弱性を保護するためには、セキュリティチームは直ちにパッチ適用を行う必要がある。管理者は、1月のOracle Critical Patch Updatesを緊急にインストールし、CVE-2026-21962に対する修正をすべての影響を受けたWebLogicおよびプロキシコンポーネントで適用する。

さらに、WebLogic管理コンソールは直接インターネットに公開されてはならない。アクセスは厳格なファイアウォールルール、VPN、または隔離された内部ネットワークを通じて制限されるべきである。

---

元記事: https://gbhackers.com/hackers-exploit-critical-weblogic-rce-vulnerabilities/