استخبارات الخصم

Honey for Hackers: دراسة للهجمات التي تستهدف CVE-2026-21962 الحديثة وغيرها من نقاط الضعف الحرجة في WebLogic على Oracle Honeypot عالي التفاعل

يفحص هذا التقرير 12 يومًا من نشاط الهجوم ضد مصيدة عالية التفاعل تحاكي خادم Oracle WebLogic الضعيف. فور إصدار رمز الاستغلال العام لثغرة RCE الحرجة CVE-2026-21962، تصاعدت محاولات الاستغلال الآلي، مما يسلط الضوء على مدى سرعة تحول عيوب WebLogic إلى أسلحة.

March 25, 2026

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

يحلل هذا التقرير بيانات الهجوم التي تم جمعها من نقطة جذب عالية التفاعل تحاكي خادم Oracle WebLogic Server الضعيف (v14.1.1.0.0) على مدار 12 يومًا (22 يناير - 3 فبراير 2026). ينصب التركيز الأساسي على الاستغلال الفوري والواسع النطاق لثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) التي تم الكشف عنها حديثًا والحرجة وغير المصادق عليها، CVE-2026-21962 (العدد الإجمالي: 10.0). وقد لوحظت محاولات الهجوم التي تستهدف هذا الخلل الذي يشبه يوم الصفر فورًا بعد الإصدار العام لرمز الاستغلال الخاص به، مما يدل على التسليح السريع لنقاط الضعف الحرجة في Oracle WebLogic.

بالإضافة إلى CVE-2026-21962، استحوذت المصيدة على هجمات تستهدف عيوب WebLogic RCE المستمرة والحرجة الأخرى، بما في ذلك CVE-2020-14882/14883 (وحدة التحكم RCE)، CVE-2020-2551 (IOP RCE)، و CVE-2017-10271 (أرز ويلز وست). هذا يؤكد أن الجهات الفاعلة في مجال التهديد تواصل الاعتماد على مجموعة صغيرة من نقاط الضعف عالية الفعالية وسهلة الاستغلال لاختراق بيئات WebLogic.

استخدم المهاجمون في الغالب الخوادم الافتراضية الخاصة المستأجرة (VPS) من مزودي الاستضافة المشتركين مثل DigitalOcean و HOSTGLOBAL.PLUS. تميز النشاط العام بالمسح الآلي عالي الحجم، مع أدوات مثل libredtail-http ومحرك البرمجة Nmap التي تهيمن على حركة المرور الضارة. علاوة على ذلك، كشفت السجلات عن وجود ضوضاء كبيرة في الخلفية، بما في ذلك محاولات استغلال نقاط الضعف غير الخاصة بـ Weblogic (على سبيل المثال، Hikvision CVE و PHPUnit RCE وحقن الأوامر العامة)، مما يشير إلى نهج «الرش والصلاة» الواسع من قبل الجهات الفاعلة في مجال التهديد.

تؤكد البيانات على الحاجة الماسة والفورية للمنظمات لتحديد أولويات تصحيح CVE-2026-21962 وتنفيذ دفاعات قوية متعددة الطبقات، بما في ذلك التحكم الصارم في الوصول لوحدة التحكم الإدارية وتصفية WAF، للتخفيف من مخاطر RCE الشديدة التي تشكلها عمليات الاستغلال غير المصادق عليها.

إعداد هونيبوت

تم جمع البيانات باستخدام نقطة جذب عالية التفاعل، تم تصميمها بدقة لتكرار بيئة Oracle WebLogic الإنتاجية. تميز جوهر الإعداد بخادم Oracle WebLogic أصلي وغير مصحح (v14.1.1.0.0)، عن قصد.

يتم توجيه كل حركة المرور أولاً من خلال وكيل Nginx العكسي، والذي يعمل كنقطة تجميع البيانات الأساسية. تم تكوين هذا الوكيل لتسجيل كل طلب فردي، بما في ذلك العناوين الكاملة ونص الطلب وبيانات التعريف الأخرى. يتم بعد ذلك شحن هذه السجلات عبر Promtail إلى مثيل Loki المركزي للتجميع والتخزين.

يضمن هذا النهج متعدد الطبقات التقاط جميع التفاعلات، بدءًا من التحقيقات الأولية وحتى محاولات الاستغلال الكاملة، مما يوفر مجموعة بيانات غنية للتحليل. يمكن ملاحظة النظام بأكمله في الوقت الفعلي من خلال لوحات معلومات Grafana، التي تصور البيانات المسجلة، و Prometheus، الذي يوفر التنبيه بشأن الأنشطة المشبوهة.

Responsive Table

Interaction Level	High-interaction (uses real vulnerable Oracle WebLogic 14.1.1.0.0)
Architecture	Production-style deployment with proxy-based traffic capture
Components	Real WebLogic Server - Actual vulnerable Oracle WebLogic instance for authentic attacker interaction Python Honeypot Service (app.py) - Flask app that mimics vulnerable proxy plugin behavior and detects exploit patterns Traffic Capture Proxy - Nginx frontend that logs all requests with full headers/body Observability Stack - Loki + Grafana for log visualization, Prometheus for metrics/alerting

يتم استغلال ORACLE CVEs في البرية

CVE Table

CVE ID	Severity	Unique IPs	Description
CVE-2026-21962	CRITICAL (10)	3	WebLogic Console RCE
CVE-2020-14882/14883	CRITICAL (9.8)	4	WebLogic Console RCE
CVE-2020-2551	CRITICAL (9.8)	1	IIOP Protocol RCE
CVE-2017-10271	CRITICAL (9.8)	1	WLS-WSAT Deserialization RCE

ملاحظة: يعتمد التحليل على البيانات التي تم جمعها خلال فترة قصيرة مدتها 12 يومًا، وتحديدًا من 22 يناير 2026 إلى 3 فبراير 2026.

CVE-2026-21962

وصف

تُعد CVE-2026-21962 ثغرة خطيرة تؤثر على وحدة تحكم خادم Oracle WebLogic، مما يسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE) بدون مصادقة. يُعتقد أن الثغرة الأمنية، التي تحمل درجة CVSS قصوى تبلغ 10.0، تنبع من خلل غير صحيح في التحقق من صحة الإدخال داخل مكونات الويب الخاصة بوحدة التحكم، مما يسمح بطلب HTTP المصمم خصيصًا لتنفيذ أوامر نظام تشغيل عشوائية على الخادم الضعيف. يشكل هذا الخلل خطرًا فوريًا وشديدًا، حيث لا يتطلب الاستغلال الناجح أي مصادقة مسبقة ويمنح المهاجم السيطرة الكاملة على مثيل WebLogic المخترق ونظامه المضيف.

متجهات الهجوم

احصل على طلبات HTTP إلى

/_proxy/weblogic/.. ؛ /bea_wls_Internal/بروكسي سيرفليت
/wl_proxy/weblogic/.. ؛ /bea_wls_Internal/بروكسي سيرفليت

أفضل المهاجمين

IP	First Attempt	IpInfo
67.213.118.179	2026-01-22 T13:30:50+00:00	Vultr Holdings LLC, United States (Proxy)
41.251.179.181	2026-01-27 T08:17:55+00:00	TE Data, Egypt (Hosting Provider)
149.28.149.165	2026-01-27 T12:12:53+00:00	DigitalOcean, LLC, Germany (Hosting/VPN)

تم إصدار الاستغلال العام لهذا CVE في 22 يناير على جيثب. منذ ذلك الحين رأينا أول محاولة استغلال من قبل»67.213.118.179'في 22 يناير نفسه، بينما بدأ المهاجمون الآخرون في مسح الإنترنت في 27 يناير، تم الإبلاغ عن عنوان IP هذا في عدة مرات تقارير عن إساءة استخدام IPDB. يبدو أن المهاجمين قد استخدموا خوادم افتراضية خاصة مستأجرة (VPS) لجميع عناوين IP التي تمت ملاحظتها.

هذا التبني السريع من قبل المهاجمين يسلط الضوء على جاذبيتها والحاجة الفورية للتصحيح. تتعرض المؤسسات التي تستخدم إصدارات Oracle WebLogic Server غير المصححة بشكل كبير لهذا التهديد الشبيه بيوم الصفر، والذي يتيح كل شيء بدءًا من سرقة البيانات وحتى نشر الأبواب الخلفية المستمرة والبرامج الضارة، ويتم تنفيذ كل ذلك من خلال طلب ويب بسيط وغير مصدق.

CVE-2020-14882/14883

وصف

يسمح هذا الزوج من الثغرات الأمنية الحرجة للمهاجم غير المصادق بتحقيق تنفيذ التعليمات البرمجية عن بُعد (RCE) على مثيلات Oracle WebLogic Server من خلال وحدة التحكم الإدارية. على وجه التحديد، يسمح CVE-2020-14882 بتجاوز المصادقة للوصول إلى وحدة التحكم، ويسمح CVE-2020-14883 لـ RCE بمجرد تجاوز المصادقة، عادةً عبر ثغرة أمنية في اجتياز المسار تنتهك كيفية تعامل وحدة التحكم مع مسارات معينة مشفرة بعنوان URL. الاستغلال بسيط، ولا يتطلب سوى طلب HTTP POST مصمم خصيصًا إلى نقطة النهاية /console/images/ %252e%252e%252fconsole.portal، مما يجعله هدفًا جذابًا للغاية للجهات الفاعلة في مجال التهديد التي تسعى إلى اختراق خوادم WebLogic على مستوى العالم

متجهات الهجوم

طلب HTTP POST إلى /وحدة التحكم/الصور/ %252e%252e%252fconsole.portal

أفضل المهاجمين

IP	First Attempt	IpInfo
67.213.118.179	2026-01-22 T13:30:50+00:00	Vultr Holdings LLC, United States (Proxy)
41.251.179.181	2026-01-27 T08:17:55+00:00	TE Data, Egypt (Hosting Provider)
149.28.149.165	2026-01-27 T12:12:53+00:00	DigitalOcean, LLC, Germany (Hosting/VPN)

‍

فيكاس كوندو

A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.

لم يتم العثور على أية عناصر.