文章总结： 本报告通过高交互蜜罐分析发现，CVE-2026-21962等OracleWebLogic严重RCE漏洞在利用代码公开后迅速被自动化攻击武器化，攻击者主要使用VPS并通过libredtail-http等工具进行大规模扫描，建议组织立即修补漏洞并实施WAF等分层防御。 综合评分： 85 文章分类： 漏洞分析,威胁情报,Web安全,安全运营

黑客的蜜罐：针对近期 CVE-2026-21962 及其他关键 WebLogic 漏洞在高度交互式 Oracle 蜜罐上的攻击研究

原创

cloudsek cloudsek

暗镜

2026年4月3日 06:00 北京

在小说阅读器读本章

去阅读

本报告分析了针对一个模拟存在漏洞的Oracle WebLogic Server的高交互蜜罐的12天攻击活动。在严重远程代码执行漏洞CVE-2026-21962的公开利用代码发布后，自动化攻击尝试激增，凸显了WebLogic漏洞被武器化的速度之快。

执行摘要

本报告分析了在 2026 年 1 月 22 日至 2 月 3 日期间，从一个模拟存在漏洞的 Oracle WebLogic Server (v14.1.1.0.0) 的高交互蜜罐中收集的攻击数据。报告重点关注新披露的严重未经身份验证的远程代码执行 (RCE) 漏洞CVE-2026-21962 (CVSS: 10.0)的迅速且广泛的利用。在漏洞利用代码公开后，立即观察到针对此零日漏洞的攻击尝试，这表明 Oracle WebLogic 严重漏洞已被迅速武器化。

除了 CVE-2026-21962 之外，蜜罐还捕获了针对其他持续存在的严重 WebLogic 远程代码执行 (RCE) 漏洞的攻击，包括CVE-2020-14882/14883（控制台 RCE）、CVE-2020-2551（IIOP RCE）和CVE-2017-10271（WLS-WSAT RCE）。这证实了攻击者仍然依赖于少量高效且易于利用的漏洞来入侵 WebLogic 环境。

攻击者主要利用从 DigitalOcean 和 HOSTGLOBAL.PLUS 等常见主机提供商租用的虚拟专用服务器 (VPS)。整体活动的特点是高容量的自动化扫描，其中 libredtail-http 和 Nmap 脚本引擎等工具主导了恶意流量。此外，日志还显示了大量背景噪音，包括试图利用非 WebLogic 特有的漏洞（例如，海康威视 CVE、PHPUnit 远程代码执行漏洞和通用命令注入漏洞），表明攻击者采用了广泛的“广撒网”式攻击策略。

数据强调了各组织迫切需要优先修补CVE-2026-21962漏洞，并实施强大的分层防御措施，包括对管理控制台进行严格的访问控制和 WAF 过滤，以减轻这些未经身份验证的漏洞利用带来的严重远程代码执行风险。

蜜罐设置

数据采集是在精心设计的高交互蜜罐环境中进行的，该蜜罐旨在模拟生产环境中的 Oracle WebLogic 环境。该设置的核心是一台未经任何补丁的真实 Oracle WebLogic Server（版本 14.1.1.0.0），这是有意为之。

所有流量首先通过反向 Nginx 代理路由，该代理充当主要数据收集点。此代理配置为记录每个请求，包括完整的请求头、请求体和其他元数据。然后，这些日志通过 Promtail 发送到集中式 Loki 实例进行聚合和存储。

这种多层级方法确保所有交互都被捕获，从初始探测到完整的攻击尝试，从而提供丰富的分析数据集。整个系统可通过 Grafana 仪表盘（用于可视化日志数据）和 Prometheus（用于对可疑活动发出警报）进行实时观察。

蜜罐搭建流程图

| | | | — | — | | 互动水平 | 高交互性（使用存在实际漏洞的 Oracle WebLogic 14.1.1.0.0） | | 建筑学 | 采用基于代理的流量捕获的生产级部署 | | 成分 | * 真实的 WebLogic 服务器 – 实际存在漏洞的 Oracle WebLogic 实例，可供攻击者进行真实交互 * Python蜜罐服务（app.py）——一个模拟易受攻击的代理插件行为并检测攻击模式的Flask应用程序。 * 流量捕获代理 – 一个 Nginx 前端，用于记录所有请求及其完整的头部和主体信息。 * 可观测性技术栈 – Loki + Grafana 用于日志可视化，Prometheus 用于指标/告警 |

Oracle CVE漏洞已被恶意利用

| CVE ID | 严重程度 | 唯一IP地址 | 描述 | | — | — | — | — | | CVE-2026-21962 | 严重（10） | 3 | WebLogic 控制台远程代码执行 | | CVE-2020-14882/14883 | 严重（9.8） | 4 | WebLogic 控制台远程代码执行 | | CVE-2020-2551 | 严重（9.8） | 1 | IIOP 协议 RCE | | CVE-2017-10271 | 严重（9.8） | 1 | WLS-WSAT 反序列化远程代码执行 |

注：该分析基于在短短 12 天时间内收集的数据，具体而言，是从 2026 年 1 月 22 日至 2026 年 2 月 3 日。

CVE-2026-21962

描述

CVE-2026-21962 是一个影响 Oracle WebLogic Server 控制台的严重漏洞，允许未经身份验证的远程代码执行 (RCE)。该漏洞的 CVSS 评分最高为 10.0，据信源于控制台 Web 组件中输入验证不当的缺陷，攻击者可利用精心构造的 HTTP 请求在易受攻击的服务器上执行任意操作系统命令。此漏洞构成直接且严重的风险，因为成功利用该漏洞无需事先进行身份验证，攻击者即可完全控制受感染的 WebLogic 实例及其宿主系统。

攻击向量

向

• /_proxy//weblogic/..;/bea_wls_internal/ProxyServlet
• /wl_proxy//weblogic/..;/bea_wls_internal/ProxyServlet

顶级攻击手

| IP | 第一次尝试 | IP信息 | | — | — | — | | 67.213.118.179 | 2026-01-22 T13:30:50+00:00 | Vultr Holdings LLC，美国（代理） | | 41.251.179.181 | 2026-01-27 T08:17:55+00:00 | TE Data，埃及（主机托管服务商） | | 149.28.149.165 | 2026-01-27 T12:12:53+00:00 | DigitalOcean, LLC，德国（主机/VPN） |

该 CVE 的公开漏洞利用程序于1 月 22 日在 GitHub 上发布。此后，我们于 1 月 22 日当天就观察到了来自“ 67.213.118.179 ”的首次攻击尝试，而其他攻击者则于 1 月 27 日开始扫描互联网。该 IP 地址已在AbuseIpdb 的多份报告中被提及。攻击者似乎使用了租用的虚拟专用服务器 (VPS) 来攻击所有观察到的 IP 地址。

攻击者如此迅速地采用这种漏洞，凸显了其吸引力以及立即修复漏洞的必要性。运行未打补丁的 Oracle WebLogic Server 版本的组织极易受到这种类似零日漏洞的威胁，该威胁允许攻击者通过简单的、未经身份验证的 Web 请求执行从数据窃取到部署持久性后门和恶意软件等各种攻击。

CVE-2020-14882/14883

描述

这两个严重漏洞允许未经身份验证的攻击者通过管理控制台在 Oracle WebLogic Server 实例上执行远程代码 (RCE)。具体来说，CVE-2020-14882 允许绕过身份验证访问控制台，而 CVE-2020-14883 则允许在绕过身份验证后执行 RCE，通常是通过路径遍历漏洞，该漏洞利用了控制台处理某些 URL 编码路径的方式。利用这些漏洞非常简单，只需向 /console/images/ 端点发送一个特制的 HTTP POST 请求即可，这使其成为试图在全球范围内入侵 WebLogic 服务器的威胁行为者极具吸引力的目标。

攻击向量

• 向 /console/images/%252e%252e%252fconsole.portal 发送 HTTP POST 请求

顶级攻击手

| IP | 第一次尝试 | IP信息 | | — | — | — | | 212.113.98.30 | 32 | 俄罗斯，圣彼得堡，PJSC MegaFon | | 67.211.213.61 | 6 | 美国，普莱诺，DigitalOcean有限责任公司 | | 91.196.152.131 | 1 | 德国，弗罗伊登贝格，EBT网络UG | | 195.184.76.253 | 1 | 俄罗斯，莫斯科，Nhost股份公司 |

CVE-2020-2551

描述

此漏洞 CVE-2020-2551 是一个影响 Oracle WebLogic Server IIOP（Internet Inter-ORB Protocol，互联网对象间协议）组件的严重反序列化缺陷，允许未经身份验证的远程攻击者在服务器上执行任意代码。该缺陷源于 T3 和 IIOP 协议处理序列化 Java 对象的方式，攻击者可以发送一个特制的对象，该对象在反序列化后会触发一系列攻击链，最终导致远程代码执行 (RCE)。由于 IIOP 协议监听器通常暴露在外，且无需身份验证即可利用此漏洞，因此该漏洞构成严重风险，通常 CVSS 评分为 9.8（严重），并且是针对 WebLogic 环境的威胁行为者持续且高度青睐的攻击途径。

攻击向量

针对 /console/css/../consolejndi.portal 路径发起 GET 请求，利用 URL 编码的路径遍历 (%252e%252e%252f) 和 test_handle 查询参数注入恶意载荷。该载荷使用 Coherence MVEL 实现远程代码执行，尝试从 cmd HTTP 标头读取命令，并通过 java.lang.ProcessBuilder 在 Windows (cmd.exe /c) 和 Linux (/bin/sh -c) 系统上执行该命令。

顶级攻击手

我们发现所有针对此 CVE 的攻击尝试均来自67.211.213.61（仅有一个唯一的 IP 地址）。攻击者向路径 /console/css/%2e%2e%2fconsolejndi.portal 发送了精心构造的请求，该请求利用路径遍历技巧到达 WebLogic JNDI 控制台端点。该请求包含一个有效载荷，该载荷会调用 com.tangosol.coherence.mvel2.sh.ShellSession，从而允许通过 MVEL 解释器执行嵌入式 Java 代码。注入的代码会尝试从请求中读取 cmd HTTP 标头，并通过 ProcessBuilder 在底层操作系统上使用 /bin/sh -c（Linux）或 cmd.exe /c（Windows）执行该标头，并将命令输出返回到 HTTP 响应中。

换句话说，攻击者试图创建一个远程命令执行通道，通过 HTTP 头部发送命令，从而在服务器上执行任意命令。相同的有效载荷从 IP 地址 67.211.213.61 发送了四次，这很可能是自动漏洞扫描的一部分，该扫描同时检查了 HTTP 和 HTTPS 端点。由于请求中不包含 cmd 头部，且响应看起来像是正常的 WebLogic 控制台页面，因此该活动很可能只是在探测服务器是否存在漏洞，而不是成功利用漏洞。

CVE-2017-10271

描述

此严重漏洞是一个反序列化缺陷，影响 Oracle WebLogic Server 的 WLS 安全组件，具体而言是 WLS-WSAT（Web 服务原子事务）协议端点。该缺陷允许未经身份验证的远程攻击者通过发送包含恶意序列化 Java 对象的特制 XML 请求（通常通过/wls-wsat/CoordinatorPortType或类似端点）在服务器上执行任意代码。此漏洞绕过了 Java 反序列化过滤，导致远程代码执行 (RCE)，其 CVSS 评分为 9.8（严重）。由于该漏洞存在时间较长、结构简单且无需身份验证，因此仍然是全球威胁行为者进行大规模扫描和利用的热门目标。

攻击向量

HTTP POST 请求至：

• /wls-wsat/协调器端口类型

顶级攻击手

我们观察到来自单个 IP 地址162.211.230.179的针对CVE-2017-10271 的攻击尝试。攻击者向端点 /wls-wsat/CoordinatorPortType 发送 POST 请求，该端点是 WebLogic WLS-WSAT（Web 服务原子事务）组件的一部分，该组件负责处理 SOAP/XML 请求。此漏洞允许攻击者发送精心构造的 XML 有效载荷，该有效载荷会触发不安全的 Java 对象反序列化，从而在未经身份验证的情况下在服务器上执行远程代码。在典型的利用中，恶意 XML 包含序列化的 Java 对象，这些对象在被 WebLogic 的 XMLDecoder 解析时会在系统上执行命令，从而允许攻击者运行 shell 命令、下载恶意软件或部署后门。日志中的请求具有 Content-Type: text/xml 标头，并且有效载荷相对较大（约 1 KB），这与已知的针对此漏洞的利用有效载荷一致。

与Oracle无关的攻击

尽管我们设置了 Oracle 蜜罐，但我们的日志也记录了许多其他类型的攻击，这表明攻击者正在广泛扫描互联网以寻找各种漏洞。

| 攻击类型 | 严重程度 | 数数 | 唯一IP地址 | | — | — | — | — | | Shell命令注入 | 高的 | 20 | 4 | | 命令注入 | 高的 | 19 | 13 | | 路径遍历 | 中等的 | 87 | 26 | | 通用网络侦察 | 信息 | 967 | 78 |

数据显示，通用网络侦察攻击最为频繁，共收到来自 78 个不同 IP 地址的 967 次请求，但这些请求被归类为低危信息探测。与之相反，我们也观察到了高危攻击，例如Shell 命令注入（来自 4 个不同 IP 地址的 20 次尝试）和命令注入（来自 13 个不同 IP 地址的 19 次尝试），这表明攻击者正积极寻求使用非 WebLogic 特有的漏洞利用方法在服务器上执行代码。路径遍历攻击的数量也显著偏高，共收到来自 26 个不同 IP 地址的 87 次尝试，这表明攻击者正在广泛地进行自动化扫描，以寻找各种应用程序级别的漏洞。

攻击工具和用户代理

在我们的日志中，我们也观察到了用户代理和工具，从而区分了恶意活动和良性活动。像libredtail-http这样高流量、低唯一 IP 地址的工具（来自 21 个 IP 地址的 1012 次请求）表明存在持续的大规模恶意扫描操作，很可能来自僵尸网络。同样，Nmap 脚本引擎（来自 5 个 IP 地址的 664 次请求）也证实了特定攻击者进行了有针对性的深度侦察。而像Go-http-client和python-requests 这样的通用代理则表明存在广泛但技术水平较低的探测活动。至关重要的是，请求与 IP 比率接近 1:1 的工具，例如zgrab/0.x（来自 141 个 IP 的 166 个请求）、CensysInspect（来自 57 个 IP 的 120 个请求）和Palo Alto Networks Scanner（来自 69 个 IP 的 70 个请求），是良性、大规模研究和安全情报收集的有力指标，这些在暴露于互联网的系统中很常见，而且并非恶意行为。

| 工具 | 请求 | 唯一IP地址 | | — | — | — | | libredtail-http | 1,012 | 21 | | Nmap脚本引擎 | 664 | 5 | | Go-http-client | 253 | 64 | | zgrab/0.x | 166 | 141 | | CensysInspect | 120 | 57 | | Palo Alto Networks 扫描仪 | 70 | 69 | | cypex.ai | 57 | 6 | | python-requests | 43 | 24 | | LeakIX (l9scan) | 36 | 1 |

最受关注的终点

针对目标端点的日志数据揭示了攻击者活动的清晰层级结构，其中根路径 (/) 的请求量遥遥领先，记录了来自 653 个不同 IP 地址的 2138 次请求，证实了广泛而通用的侦察活动是其主要攻击手段。除了这种初始探测之外，攻击者还表现出对配置和源代码泄露的浓厚兴趣，这体现在对 /.env（95 次请求/41 个 IP 地址）和 /.git/config（71 次请求/40 个 IP 地址）的大量请求上。虽然并非专门针对 WebLogic，但该数据集也显示了大量已知、高影响漏洞，例如海康威视 CVE 路径（/SDK/webLanguage，97 次请求/4 个 IP 地址）和 PHPUnit RCE 漏洞利用（/phpunit/…/eval-stdin.php，36 次以上请求/25 个 IP 地址），这凸显了蜜罐尽管专注于 WebLogic，但仍会吸引针对各种常见、高严重性漏洞的自动化扫描，这表明许多威胁行为者采用了“广撒网”的方法。

| 小路 | 请求 | 唯一IP地址 | 攻击类型 | | — | — | — | — | | / | 2,138 | 653 | 侦察 | | /.env | 95 | 41 | 配置披露 | | /.git/config | 71 | 40 | 信息来源披露 | | /robots.txt | 68 | 48 | 侦察兵 | | /SDK/webLanguage | 97 | 4 | 海康威视 CVE | | /phpunit/…/eval-stdin.php | 36岁以上 | 25 | PHPUnit RCE | | /+CSCOE+/logon_forms.js | 24 | 24 | Cisco VPN |

攻击者基础设施：主要使用的组织/互联网服务提供商

攻击者基础设施数据显示，其恶意活动主要依赖于少数几家主机和云服务提供商。HOSTGLOBAL.PLUS LTD (AS202306) 的使用率最高，仅使用 4 个独立 IP 地址就贡献了 625 个请求，表明攻击者利用有限的基础设施持续进行高流量攻击。同样，DigitalOcean, LLC (AS14061)也十分活跃，使用了最多的独立 IP 地址 (28 个) 和 461 个请求，这与其作为常用 VPS 租赁平台进行扫描和攻击的用途相符。此外，Microsoft Corporation (AS8075)和Pfcloud UG (AS51396)的出现也表明攻击者利用主流云平台来获取匿名性和可扩展性。相反，像Censys, Inc. (AS398324)这样的组织，虽然拥有 16 个独立的 IP 地址，但总共只注册了 90 个请求，这与其作为安全研究扫描器的角色相符，这类扫描器通常执行低容量、良性探测。这种分布情况凸显了攻击者对特定托管服务提供商的明显偏好，这些提供商能够提供快速配置，并最大限度地减少发起大规模攻击的阻力。

| 组织 | IP地址 | 总请求数 | | — | — | — | | HOSTGLOBAL.PLUS LTD (AS202306) | 4 | 625 | | DigitalOcean, LLC (AS14061) | 28 | 461 | | 微软公司（AS8075） | 4 | 453 | | Pfcloud UG（AS51396） | 15 | 339 | | MEVSPACE sp. z oo (AS201814) | 3 | 240 | | Censys公司（AS398324） | 16 | 90 |

缓解措施

为了保护 Oracle WebLogic Server 环境免受所讨论的漏洞（特别是 CVE-2026-21962、CVE-2020-14882/14883、CVE-2020-2551 和 CVE-2017-10271 等严重远程代码执行漏洞）的侵害，组织应实施以下步骤：

1. 立即修补：

• 应用关键补丁更新 (CPU)：立即应用最新的 Oracle 关键补丁更新 (CPU)。这是最有效的缓解措施。确保所有组件，包括 WebLogic Server 本身、控制台应用程序以及 Coherence 等相关组件，都已更新。
• 优先处理 CVE-2026-21962：鉴于该漏洞最近被积极利用，必须立即应用 CVE-2026-21962 的补丁。

1. 网络和访问控制：

• 限制控制台访问： WebLogic 管理控制台（它是多个 CVE 漏洞的攻击途径，包括 CVE-2026-21962 和 CVE-2020-14882/14883）绝不能直接暴露在互联网上。应仅通过防火墙、VPN 或内部网络限制访问。
• 禁用不必要的协议/端口：禁用或限制来自不受信任网络的对敏感协议（例如IIOP/T3（CVE-2020-2551 中涉及的协议）和WLS-WSAT（CVE-2017-10271 中涉及的协议））的网络访问。配置防火墙规则，仅允许来自已知、受信任来源的流量访问这些端口。

1. 高级过滤和WAF：

• 包含特定路径遍历序列（例如，%252e%252e%252f，../）的请求，目标是控制台路径。

• 已知漏洞的利用模式（例如，针对 CVE-2026-21962 的 ProxyServlet 签名或针对 CVE-2017-10271 的对 /wls-wsat/ 的 SOAP 请求）。

• Web应用程序防火墙（WAF）：在WebLogic服务器前端部署WAF，以检查和过滤恶意流量。配置WAF规则以检测和阻止：

• 深度检查：对于与反序列化相关的 CVE（如 CVE-2020-2551 和 CVE-2017-10271），确保部署深度包检测 (DPI) 或安全代理，以阻止已知的序列化 gadget 链。

1. 监测与检测：

• 过度或频繁地尝试访问控制台或常用漏洞利用途径。

• 应用程序日志或主机进程日志中突然执行可疑的操作系统命令（例如 wget、curl、sh、cmd.exe）。

• 监控 WebLogic 日志：增强所有 WebLogic 组件的日志记录和监控。重点查找异常活动，特别是：

• 关于新 IP/工具的警报：使用提供的攻击者基础设施数据（例如，来自 DigitalOcean、HOSTGLOBAL.PLUS 的 IP）来优先处理和调查来自这些已知恶意主机的流量。

1. 安全配置：

• 移除默认组件：尽可能移除或重命名默认组件（例如，如果 WebLogic 控制台未积极使用），以减少攻击面。
• 最小权限原则：以尽可能低的操作系统权限运行 WebLogic Server 进程，以限制 RCE 攻击成功后可能造成的损害。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 cloudsek cloudsek《黑客的蜜罐：针对近期 CVE-2026-21962 及其他关键 WebLogic 漏洞在高度交互式 Oracle 蜜罐上的攻击研究》