Uma nova vulnerabilidade crítica no Oracle WebLogic Server está sendo explorada ativamente por cibercriminosos, conforme revelado por um estudo de segurança recente. A falha, rastreada como CVE-2026-21962, possui uma pontuação CVSS de 10.0, indicando um risco máximo de segurança. Ela permite que atacantes não autenticados executem código arbitrário remotamente (RCE) nos servidores vulneráveis através do console WebLogic.
Contexto da Ameaça e Evolução do Ataque
A exploração desta vulnerabilidade começou imediatamente após a publicação do código de exploração online em 22 de janeiro de 2026. A rapidez com que os atacantes começaram a utilizar essa falha destaca a extrema urgência para as organizações que ainda não aplicaram os patches de segurança. O estudo, baseado em dados coletados de um honeypot de alta interação, capturou uma onda massiva de tráfego malicioso direcionado a servidores WebLogic.
Os atacantes utilizaram servidores virtuais privados (VPS) alugados de provedores populares, como DigitalOcean e HOSTGLOBAL.PLUS, para lançar varreduras automatizadas de alto volume, ocultando suas localizações reais. Essa abordagem de "spray and pray" demonstra que os criminosos não estão focando em alvos específicos, mas sim em comprometer qualquer servidor vulnerável que encontrem.
Detalhes Técnicos da Vulnerabilidade
A vulnerabilidade CVE-2026-21962 afeta a versão 14.1.1.0.0 do Oracle WebLogic Server e é explorada através de solicitações HTTP GET específicas para o ProxyServlet. A falha permite a execução remota de código sem autenticação, o que significa que qualquer pessoa na internet pode comprometer o servidor se ele estiver exposto.
Além da nova falha, os pesquisadores observaram que os atacantes também testaram vulnerabilidades mais antigas e conhecidas no WebLogic. Isso inclui as falhas críticas CVE-2020-14882 e CVE-2020-14883, que permitem o bypass de autenticação no console administrativo, e a vulnerabilidade de desserialização grave CVE-2020-2551 no protocolo IIOP.
Evidências de Exploração Ativa
O honeypot registrou ataques constantes contra várias vulnerabilidades históricas do WebLogic, confirmando que os cibercriminosos não apenas perseguem novos zero-days, mas também dependem fortemente de exploits antigos e comprovados. Ferramentas automatizadas como libredtail-http, gerando mais de 1.000 solicitações, e o Nmap Scripting Engine inundaram o honeypot com requisições maliciosas.
Os scanners automatizados também identificaram vulnerabilidades completamente não relacionadas, como bugs em câmeras Hikvision e no PHPUnit, provando que os atacantes estão constantemente lançando uma rede ampla, procurando qualquer porta aberta. Isso indica que a superfície de ataque é muito maior do que apenas o WebLogic, exigindo uma abordagem holística de segurança.
Medidas de Mitigação Recomendadas
A rápida weaponização da CVE-2026-21962 significa que as organizações devem agir imediatamente para proteger suas redes. Os especialistas em segurança recomendam a aplicação imediata dos patches mais recentes do Oracle Critical Patch Updates (CPUs) em todos os componentes, priorizando as correções para a CVE-2026-21962.
Além disso, o console administrativo do WebLogic nunca deve ser exposto diretamente à internet pública. Ele deve ser protegido atrás de uma VPN estrita ou firewall interno. A implementação de um Web Application Firewall (WAF) com regras configuradas para detectar e bloquear solicitações maliciosas de travessia de caminho, tentativas de evasão de inspeção profunda de pacotes (DPI) e assinaturas de exploits conhecidas é essencial.
Monitoramento e Resposta a Incidentes
As equipes de segurança devem monitorar de perto os logs do sistema em busca de tentativas de acesso administrativo incomuns ou para a execução repentina de comandos suspeitos do sistema operacional, como wget ou curl. A detecção precoce de atividades anômalas pode prevenir o comprometimento total do sistema.
Deixar um servidor WebLogic exposto e sem patches é virtualmente garantido que resultará em um comprometimento total do sistema. A resposta a incidentes deve incluir a isolamento de sistemas afetados, a remoção de backdoors e a restauração de backups limpos.
Implicações para Governança de Segurança
Este incidente reforça a necessidade de uma gestão rigorosa de vulnerabilidades e patches. A governança de segurança deve incluir a inventariação contínua de ativos, a avaliação de riscos e a priorização de correções com base na severidade e na exposição. A integração de inteligência de ameaças em tempo real permite que as equipes de SOC identifiquem e bloqueiem indicadores de comprometimento (IOCs) associados a esta campanha antes que causem danos significativos.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a aplicação de patches para o Oracle WebLogic Server e garantir que o console administrativo não esteja exposto à internet. A implementação de regras de WAF e a monitorização de logs de sistema são medidas críticas para mitigar os riscos associados a esta vulnerabilidade crítica.