資安研究人員近期揭露兩起嚴重漏洞事件:其一是
Oracle WebLogic 伺服器的高危遠端程式碼執行(RCE)漏洞在公開當天即遭武器化利用;其二是
廣泛應用於企業 VPN 的 strongSwan 被發現存在長達 15 年的整數下溢(integer underflow)缺陷。兩起事件均對企業網路安全構成立即威脅。
Oracle WebLogic:漏洞公開當日即遭攻擊
資安公司 CloudSEK 於 2026 年 3 月 25 日發布研究報告,揭露攻擊者在漏洞公開後以驚人速度展開攻擊。研究人員於今年 1 月 22 日至 2 月 3 日期間,架設模擬真實 Oracle WebLogic Server 環境的高互動蜜罐進行監測。結果發現,針對
CVE-2026-21962 的第一波攻擊,就出現在漏洞公開程式碼釋出的同一天。
CVE-2026-21962 的通用漏洞評分系統(CVSS)為滿分 10.0 分,屬於最高風險等級的 RCE 漏洞,
允許攻擊者在未經驗證的情況下,遠端執行任意程式碼。
蜜罐日誌顯示,隨後數日內有更多攻擊者開始大規模掃描暴露於網際網路的 WebLogic 伺服器;自動化掃描工具包括 libredtail-http 與 Nmap Scripting Engine。
值得關注的是,研究人員同時觀察到針對多個較舊但仍被廣泛濫用漏洞的持續攻擊,包括
CVE-2020-14882/14883(管理控制台 RCE)、
CVE-2020-2551(IIOP 反序列化 RCE),以及
CVE-2017-10271(WLS-WSAT 反序列化 RCE)。這一現象清楚說明,攻擊者傾向持續鎖定少數已知且有效的漏洞,對未修補系統施加長期滲透壓力。
監測期間的 12 天內,蜜罐共記錄來自 78 個不同 IP 位址的 967 筆一般性網頁偵查請求,另有大量指令注入與路徑遍歷嘗試。CloudSEK 確認,大多數攻擊流量來自租用雲端服務商的虛擬私人伺服器(VPS),進一步印證現代攻擊行動的高度自動化特性。
strongSwan:15年舊洞造成 VPN 兩段式崩潰
另一起漏洞事件同樣不容忽視。資安研究公司 Bishop Fox 近期揭露,strongSwan 的 EAP-TTLS 外掛程式存在一個追蹤編號為
CVE-2026-25075 的嚴重缺陷,影響版本涵蓋 4.5.0 至 6.0.4,而其根源竟已潛伏長達 15 年之久。strongSwan 官方已於 2026 年 3 月 23 日發布安全公告。
這個漏洞的核心在於
整數下溢導致的運算錯誤。strongSwan 在處理傳入資料時,會以訊息總長度扣除標頭大小(預設 8 個位元組),來計算需要配置的記憶體空間。然而,若攻擊者刻意傳送僅 1 個位元組的惡意訊息,軟體仍會嘗試執行「1 減 8」的運算。由於整數運算機制的特性,結果不會是負數,而是會「環繞回溢」成極大的正整數,進而驅使系統透過 malloc 嘗試配置高達 18 EB 的記憶體空間,遠超任何實體伺服器所能提供的容量。
更令資安人員頭痛的是,這個漏洞具有「兩段式觸發」特性。研究人員指出,VPN 伺服器收到第一個惡意封包後不會立刻崩潰,而是會在堆積記憶體(heap)遭到破壞後,仍短暫維持運作。直到下一位合法使用者嘗試建立連線時,才會引發負責維持 VPN 運作的背景程序 charon daemon 真正崩潰。這種延遲效應使 IT 團隊難以將崩潰事件溯源至原始攻擊,形成類似「幽靈攻擊」的困境。
要成功利用此漏洞,攻擊者需讓目標伺服器同時符合三個條件:執行受影響版本的 strongSwan、啟用 EAP-TTLS 外掛,以及開放 IKEv2 連線。Bishop Fox 也開發了一款測試工具,可在不實際觸發崩潰的前提下驗證系統是否存在風險,協助系統管理員安全評估曝險狀況。
防護建議
面對上述兩大威脅,相關單位建議採取以下措施:
針對 Oracle WebLogic(CVE-2026-21962)
- 立即套用 Oracle 最新安全修補程式
- 限制管理控制台對外網路存取
- 關閉不必要的通訊協定與連接埠
- 部署網頁應用程式防火牆(WAF)過濾規則
- 持續監控伺服器日誌,以偵測可疑活動
針對 strongSwan(CVE-2026-25075)
- 立即升級至 strongSwan 6.0.5 或更新版本
- 若業務上不需要 EAP-TTLS 功能,應立即停用該外掛程式
- 使用 Bishop Fox 提供的測試工具,確認系統是否受影響
CloudSEK 在報告中強調,這些資料清楚凸顯組織應優先修補漏洞,並落實多層次防禦架構的迫切性。當攻擊者能在漏洞公開當日即展開行動時,留給防守方的時間窗口幾乎已消失殆盡。
本文轉載自 InfosecurityMagazine、Hackread。