Một nghiên cứu an ninh mạng gần đây tiết lộ xu hướng đáng báo động: các tác nhân đe dọa đang nhanh chóng vũ khí hóa các điểm yếu phần mềm mới được công bố. Dữ liệu thu thập từ một honeypot tương tác cao đã xác nhận rằng tin tặc đang tích cực khai thác một lỗ hổng CVE-2026-21962 nghiêm trọng tối đa trong Oracle WebLogic Server. Lỗ hổng này, được định danh là CVE-2026-21962, cho phép thực thi mã từ xa mà không cần xác thực.
Tấn công Khai thác CVE-2026-21962 Nghiêm trọng trong Oracle WebLogic Server
Chi tiết Lỗ hổng CVE-2026-21962 và Mức độ Nghiêm trọng
Lỗ hổng cực kỳ nghiêm trọng này, được theo dõi là CVE-2026-21962, mang điểm CVSS 10.0 — mức độ nghiêm trọng cao nhất. Đây là một lỗ hổng loại Remote Code Execution (RCE) cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên các máy chủ Oracle WebLogic Server dễ bị tổn thương thông qua giao diện WebLogic Console.
Khả năng thực thi mã tùy ý từ xa này mang lại cho kẻ tấn công quyền kiểm soát hoàn toàn máy chủ. Điều này bao gồm khả năng cài đặt mã độc, đánh cắp dữ liệu nhạy cảm, thiết lập các điểm truy cập lâu dài vào mạng nội bộ hoặc sử dụng máy chủ làm bàn đạp cho các cuộc tấn công tiếp theo. Mức độ nghiêm trọng tối đa này đặt ra rủi ro cực kỳ cao cho các tổ chức đang vận hành các phiên bản Oracle WebLogic Server chưa được vá lỗi.
Tốc độ Vũ khí hóa và Khai thác lỗ hổng CVE-2026-21962
Các nhà nghiên cứu bảo mật đã ghi nhận các nỗ lực tấn công ngay lập tức sau khi mã khai thác (exploit code) cho lỗ hổng CVE-2026-21962 được công bố trực tuyến vào ngày 22 tháng 01 năm 2026. Sự xuất hiện nhanh chóng của các cuộc tấn công sau khi công khai mã khai thác chỉ ra rằng các tác nhân đe dọa đang theo dõi sát sao các báo cáo lỗ hổng mới.
Tốc độ khai thác “chớp nhoáng” này nhấn mạnh rủi ro cực đoan đối với các tổ chức chưa kịp thời cập nhật bản vá. Nó cũng làm nổi bật khoảng thời gian cửa sổ an toàn cực kỳ ngắn ngủi giữa thời điểm công bố lỗ hổng và các cuộc tấn công thực tế. Điều này đòi hỏi phản ứng vá lỗi tức thì.
Phân tích Hoạt động Tấn công qua Honeypot Oracle WebLogic
Triển khai Honeypot và Mục tiêu Quan sát
Để có cái nhìn sâu sắc về bối cảnh mối đe dọa, các nhà nghiên cứu đã triển khai một honeypot tương tác cao trong 12 ngày. Honeypot này được thiết kế để mô phỏng một máy chủ Oracle WebLogic Server dễ bị tổn thương, cụ thể là phiên bản 14.1.1.0.0.
Hệ thống này nhanh chóng thu được một lượng lớn lưu lượng truy cập độc hại. Dữ liệu từ honeypot cung cấp thông tin chi tiết về chiến thuật, kỹ thuật và quy trình (TTPs) mà các tác nhân đe dọa sử dụng khi nhắm mục tiêu vào lỗ hổng CVE-2026-21962 và các điểm yếu khác.
Phương thức Tấn công và Công cụ sử dụng
Các kẻ tấn công chủ yếu sử dụng các Máy chủ Riêng Ảo (VPS) thuê từ các nhà cung cấp dịch vụ hosting phổ biến như DigitalOcean và HOSTGLOBAL.PLUS. Việc sử dụng VPS thuê cho phép các tác nhân đe dọa che giấu vị trí thực của họ và khởi động các cuộc quét tự động với khối lượng lớn, tạo ra khó khăn trong việc truy vết.
Thay vì thực hiện các cuộc tấn công có mục tiêu cụ thể, các tác nhân đe dọa đã áp dụng phương pháp “quét rộng và tấn công bừa bãi” (spray and pray). Phương pháp này hiệu quả trong việc tìm kiếm một số lượng lớn hệ thống chưa được vá lỗi.
Các công cụ tự động được sử dụng bao gồm
libredtail-http, vốn đã tạo ra hơn 1.000 yêu cầu độc hại, và Nmap Scripting Engine. Các công cụ này đã liên tục gửi các yêu cầu thăm dò và khai thác tới honeypot.
Mục tiêu chính của các cuộc tấn công là khai thác lỗ hổng CVE-2026-21962 thông qua các yêu cầu HTTP GET cụ thể tới ProxyServlet. Tuy nhiên, song song đó, các kẻ tấn công cũng tích cực thử nghiệm máy chủ về các lỗ hổng cũ, chưa được vá lỗi khác.
Mở rộng Phạm vi Tìm kiếm Lỗ hổng
Dữ liệu từ honeypot xác nhận một xu hướng quan trọng: tội phạm mạng không chỉ tập trung săn lùng các lỗ hổng zero-day mới nhất. Họ cũng phụ thuộc rất nhiều vào các lỗ hổng đã được biết, đã được vá và đã được chứng minh hiệu quả từ lâu.
Honeypot đã ghi nhận các cuộc tấn công liên tục nhắm vào một số lỗ hổng WebLogic lịch sử. Điều này cho thấy rằng việc bỏ quên các bản vá cũ vẫn là một điểm yếu nghiêm trọng mà các kẻ tấn công tận dụng để xâm nhập hệ thống. Ngay cả các lỗ hổng đã có từ nhiều năm trước vẫn có thể dẫn đến các cuộc xâm nhập thành công nếu không được khắc phục.
Đáng chú ý, các máy quét tự động còn xác định các lỗ hổng hoàn toàn không liên quan đến WebLogic. Ví dụ bao gồm các lỗi trong camera Hikvision và trong PHPUnit. Điều này chứng tỏ các kẻ tấn công liên tục rải rộng lưới, tìm kiếm bất kỳ “cánh cửa” mở nào, dù là mới nhất hay đã cũ, để xâm nhập hệ thống và chiếm quyền điều khiển.
Khuyến nghị Bảo vệ và Phòng ngừa chống lại lỗ hổng CVE-2026-21962
Các Biện pháp Phòng thủ Cấp bách cho Lỗ hổng CVE-2026-21962
Việc vũ khí hóa nhanh chóng lỗ hổng CVE-2026-21962 có nghĩa là các tổ chức phải hành động ngay lập tức để bảo mật mạng của mình. Để giảm thiểu rủi ro và ngăn chặn các cuộc tấn công, các chuyên gia an ninh mạng khuyến nghị các biện pháp phòng thủ quan trọng sau đây, dựa trên phân tích của CloudSEK:
- Cập nhật bản vá bảo mật ngay lập tức: Thường xuyên và kịp thời áp dụng tất cả các bản vá bảo mật được phát hành cho Oracle WebLogic Server. Đây là biện pháp quan trọng nhất để khắc phục lỗ hổng CVE-2026-21962 và các điểm yếu đã biết khác.
- Triển khai Tường lửa và IPS/IDS: Cấu hình tường lửa (firewall) để hạn chế truy cập không cần thiết vào WebLogic Console. Đồng thời, triển khai các hệ thống phòng chống xâm nhập (Intrusion Prevention Systems – IPS) và hệ thống phát hiện xâm nhập (Intrusion Detection Systems – IDS) để chặn và cảnh báo về các lưu lượng độc hại hoặc các nỗ lực khai thác.
- Hạn chế Quyền truy cập và Xác thực Mạnh mẽ: Giới hạn quyền truy cập vào WebLogic Console chỉ cho các địa chỉ IP đáng tin cậy và các người dùng được ủy quyền. Sử dụng các cơ chế xác thực mạnh mẽ, bao gồm xác thực đa yếu tố (Multi-Factor Authentication – MFA), để tăng cường bảo mật đăng nhập.
- Giám sát Liên tục: Thực hiện giám sát liên tục các log hệ thống, log ứng dụng và lưu lượng mạng để phát hiện sớm các dấu hiệu hoạt động bất thường, các nỗ lực quét hoặc khai thác lỗ hổng CVE-2026-21962. Thiết lập cảnh báo tự động cho các hoạt động đáng ngờ.
- Đánh giá Lỗ hổng và Kiểm tra Thâm nhập Định kỳ: Tiến hành đánh giá lỗ hổng (vulnerability assessment) và kiểm tra thâm nhập (penetration testing) định kỳ trên môi trường Oracle WebLogic Server. Điều này giúp xác định và khắc phục các điểm yếu tiềm ẩn trước khi kẻ tấn công có thể khai thác.
- Sử dụng Tường lửa Ứng dụng Web (WAF): Triển khai Web Application Firewall (WAF) phía trước Oracle WebLogic Server. Một WAF có thể lọc, giám sát và chặn các yêu cầu HTTP độc hại, bao gồm các payload khai thác nhắm vào ProxyServlet, cung cấp một lớp bảo vệ bổ sung.
Bỏ mặc một máy chủ Oracle WebLogic Server bị lộ ra internet và chưa được vá lỗi gần như chắc chắn sẽ dẫn đến toàn bộ hệ thống bị xâm phạm. Các tổ chức cần ưu tiên triển khai các biện pháp bảo mật này một cách chủ động và kịp thời để bảo vệ tài sản kỹ thuật số quan trọng của mình khỏi các cuộc tấn công mạng ngày càng tinh vi và nhanh chóng.
Để biết thêm chi tiết về phân tích và các khuyến nghị chuyên sâu, bạn có thể tham khảo bài viết từ CloudSEK Blog.
