-
09/04/2020
-
128
-
1.757 bài viết
CVE-2026-21962: Lỗ hổng Oracle WebLogic bị khai thác tức thì ngay sau khi công bố
Các hệ thống doanh nghiệp và hạ tầng trọng yếu đang đối mặt với làn sóng tấn công khai thác trực diện vào Oracle WebLogic Server. Tâm điểm của cuộc khủng hoảng là lỗ hổng CVE-2026-21962 với điểm số tuyệt đối 10.0 CVSS, cho phép thực thi mã từ xa (RCE) không cần xác thực để chiếm quyền kiểm soát hoàn toàn máy chủ. Dữ liệu từ honeypot cho thấy tốc độ 'vũ khí hóa' mã khai thác diễn ra gần như tức thì ngay sau khi công bố, biến đây trở thành một kịch bản 'tương tự Zero-day' đầy thách thức đối với các quản trị viên hệ thống.
Dữ liệu thực nghiệm từ CloudSEK cho thấy khoảng cách giữa thời điểm công bố lỗ hổng và việc triển khai khai thác trên diện rộng gần như đã bằng không. Ngay trong ngày mã khai thác xuất hiện trên GitHub, các đợt dò quét đơn lẻ đã nhanh chóng biến thành làn sóng tấn công tự động trên toàn bộ dải IP internet. Tốc độ "vũ khí hóa" này cho thấy sự chênh lệch đáng báo động giữa năng lực phản ứng của tin tặc và quy trình vá lỗi truyền thống của các doanh nghiệp hiện nay.
Lỗ hổng CVE-2026-21962 tồn tại trên WebLogic Server Console, cho phép kẻ tấn công thực thi bất kỳ lệnh hệ điều hành nào trên máy chủ mà không cần xác thực. Khi khai thác thành công, tin tặc có thể chiếm toàn quyền kiểm soát hệ thống, truy xuất dữ liệu nhạy cảm, sửa đổi cấu hình, triển khai phần mềm độc hại và biến máy chủ thành điểm tấn công cho các chiến dịch tự động tiếp theo, đe dọa nghiêm trọng hoạt động và bảo mật của toàn bộ doanh nghiệp.
Các nhóm tấn công không chỉ săn lùng lỗ hổng mới. Họ đồng thời khai thác những lỗ hổng cũ nhưng vẫn hiệu quả như CVE-2017-10271 và CVE-2020-14882, nhằm mở rộng cơ hội xâm nhập. Phần lớn lưu lượng độc hại được phát động từ các VPS thuê, trong đó DigitalOcean và HOSTGLOBAL.PLUS là những nhà cung cấp phổ biến nhất cho các chiến dịch quét tự động cường độ cao.
Honeypot mô phỏng môi trường WebLogic cũng thu hút nhiều hình thức tấn công ngẫu nhiên. Tin tặc áp dụng chiến thuật “spray and pray”, tấn công từ camera Hikvision đến các lỗ hổng trong PHPUnit. Dữ liệu ghi nhận root path (/) vẫn là điểm truy vấn phổ biến nhất cho thăm dò tổng quát, nhưng các file cấu hình quan trọng như /.env hay bí mật mã nguồn trong /.git/config đang ngày càng trở thành mục tiêu ưu tiên.
Để ngăn chặn nguy cơ bị chiếm quyền điều khiển, các tổ chức cần triển khai ngay chiến lược phòng thủ đa lớp:
- Áp dụng các bản cập nhật Critical Patch Updates mới nhất từ Oracle và tập trung xử lý CVE-2026-21962 trước khi các đợt quét tự động tiếp theo diễn ra
- Không để Console quản trị lộ diện trực tiếp trên Internet, giới hạn quyền truy cập trong mạng nội bộ hoặc qua kết nối VPN an toàn
- Ngắt bỏ hoặc siết chặt các giao thức nhạy cảm như IIOP/T3 và WLS-WSAT nếu không thực sự cần thiết cho hoạt động vận hành
- Cấu hình WAF để nhận diện và chặn các chuỗi Path Traversal cũng như các mẫu khai thác nhắm vào ProxyServlet
Theo Security Online