Sumário executivo

Este relatório analisa os dados de ataque coletados de um honeypot de alta interação que simula um Oracle WebLogic Server vulnerável (v14.1.1.0.0) durante um período de 12 dias (22 de janeiro a 3 de fevereiro de 2026). O foco principal é a exploração imediata e generalizada da vulnerabilidade crítica de execução remota de código (RCE) recém-divulgada e não autenticada, CVE-2026-21962 (CVSS: 10.0). Tentativas de ataque contra essa falha semelhante a um dia zero foram observadas imediatamente após o lançamento público de seu código de exploração, demonstrando a rápida transformação em armas de vulnerabilidades críticas do Oracle WebLogic.

Além do CVE-2026-21962, o honeypot capturou ataques direcionados a outras falhas críticas e persistentes do WebLogic RCE, incluindo CVE-2020-14882/14883 (Console RCE), CVE-2020-2551 (IIOP RCE), CVE-2017-10271 (ARROZ WLS-WSAT). Isso confirma que os agentes de ameaças continuam confiando em um pequeno conjunto de vulnerabilidades altamente eficazes e fáceis de explorar para comprometer os ambientes do WebLogic.

Os atacantes utilizaram predominantemente servidores virtuais privados (VPS) alugados a provedores de hospedagem comuns, como DigitalOcean e HOSTGLOBAL.PLUS. A atividade geral foi caracterizada por uma verificação automatizada de alto volume, com ferramentas como libredtail-http e o Nmap Scripting Engine dominando o tráfego malicioso. Além disso, os registros revelaram um ruído de fundo significativo, incluindo tentativas de explorar vulnerabilidades não específicas do Weblogic (por exemplo, Hikvision CVE, PHPUnit RCE e injeções genéricas de comandos), indicando uma abordagem ampla de “pulverizar e rezar” por parte dos agentes de ameaças.

Os dados destacam a necessidade crítica e imediata de as organizações priorizarem a aplicação de patches CVE-2026-21962 e implementa defesas robustas em camadas, incluindo controle de acesso rígido para o console administrativo e filtragem WAF, para mitigar o grave risco de RCE representado por essas explorações não autenticadas.

A configuração do Honeypot

A coleta de dados foi realizada usando um honeypot de alta interação, meticulosamente projetado para replicar um ambiente de produção do Oracle WebLogic. O núcleo da configuração apresentava um Oracle WebLogic Server genuíno e sem patches (v14.1.1.0.0), intencionalmente.

Primeiro, todo o tráfego é roteado por meio de um proxy Nginx reverso, que atua como o principal ponto de coleta de dados. Esse proxy é configurado para registrar cada solicitação, incluindo cabeçalhos completos, o corpo da solicitação e outros metadados. Esses registros são então enviados via Promtail para uma instância centralizada do Loki para agregação e armazenamento.

Essa abordagem em várias camadas garante que todas as interações sejam capturadas, desde as sondagens iniciais até as tentativas completas de exploração, fornecendo um rico conjunto de dados para análise. Todo o sistema é observável em tempo real por meio dos painéis do Grafana, que visualizam os dados registrados, e do Prometheus, que fornece alertas sobre atividades suspeitas.

Oracle CVEs sendo explorados na natureza

Nota: A análise é baseada em dados coletados em um curto período de 12 dias, especificamente de 22 de janeiro de 2026 a 3 de fevereiro de 2026.

CVE-2026-21962

Descrição

O CVE-2026-21962 é uma vulnerabilidade crítica que afeta o Oracle WebLogic Server Console, permitindo a execução remota de código (RCE) não autenticada. Acredite que a vulnerabilidade, que tem uma pontuação máxima de CVSS de 10,0, decorre de uma falha imprópria de validação de entrada nos componentes web do console, permitindo que uma solicitação HTTP especialmente criada execute comandos arbitrários do sistema operacional no servidor vulnerável. Essa falha representa um risco imediato e grave, pois a exploração bem sucedida não exige autenticação prévia e concede ao invasor o controle total sobre a instância comprometida do WebLogic e seu sistema host.

Vetores de ataque

Solicitações HTTP GET para

• /_proxy//weblogic/..; /bea_wls_internal/ProxyServlet
• /wl_proxy//weblogic/..; /bea_wls_internal/ProxyServlet

Principais atacantes

A exploração pública deste CVE foi lançada em 22 de janeiro no Github. Desde então, vimos a primeira tentativa de exploração de '67.213.118.1179'no próprio dia 22 de janeiro, enquanto os outros atacantes começaram a escanear a Internet em 27 de janeiro. Esse IP foi relacionado em vários relatórios sobre abusoIPDB. Os atacantes parecem ter usado servidores virtuais privados (VPS) alugados para todos os endereços IP observados.

Essa rápida adoção pelos atacantes destaca sua atratividade e a necessidade imediata de patches. As organizações que executam versões não corrigidas do Oracle WebLogic Server estão criticamente expostas a essa ameaça do dia zero, que permite tudo, desde o roubo de dados até a implantação de backdoors e malwares persistentes, tudo executado por meio de uma solicitação web simples e não autenticada.

CVE-2020-14882/14883

Descrição

Esse par de vulnerabilidades críticas permite que um invasor não autenticado alcance a Execução Remota de Código (RCE) em instâncias do Oracle WebLogic Server por meio do console administrativo. Especificamente, o CVE-2020-14882 permite ignorar a autenticação para acessar o console, e o CVE-2020-14883 permite o RCE quando a autenticação é ignorada, normalmente por meio de uma vulnerabilidade de passagem de caminho que abusa da forma como o console lida com determinados caminhos codificados por URL. A exploração é simples, exigindo apenas uma solicitação HTTP POST especialmente criada para o endpoint /console/images/ %252e%252e%252fconsole.portal, tornando-a um alvo altamente atraente para agentes de ameaças que buscam comprometer servidores WebLogic globalmente

Vetores de ataque

• Solicitação HTTP POST para o /console/images/ %252e%252e%252fconsole.portal

Principais atacantes

‍

‍

‍

‍