CISA confirma exploração ativa
A vulnerabilidade CVE-2024-21182 no Oracle WebLogic Server foi adicionada ao catálogo de vulnerabilidades conhecidas e exploradas (KEV) da CISA em 1º de junho de 2026. A falha permite que invasores remotos não autenticados comprometam servidores por meio dos protocolos T3 e IIOP, obtendo acesso não autorizado a dados críticos. O órgão federal dos EUA concedeu prazo até 4 de junho para que agências governamentais apliquem as correções.
A vulnerabilidade afeta as versões 12.2.1.4.0 e 14.1.1.0.0 do WebLogic Server e recebeu pontuação CVSS de 7,5 (alta gravidade). O patch está disponível desde o Critical Patch Update de julho de 2024 da Oracle, mas a CISA identificou que atores de ameaça continuam explorando sistemas desatualizados que não receberam a atualização.
Como o ataque funciona
A exploração não exige autenticação prévia. O invasor envia requisições maliciosas pelos protocolos T3 ou IIOP, que são usados para comunicação entre componentes Java EE em ambientes WebLogic. Ao explorar a falha de bypass de autenticação, o atacante obtém acesso ao servidor com privilégios elevados, podendo ler, modificar ou exfiltrar todos os dados acessíveis pela instância do WebLogic.
Múltiplos proof-of-concept (PoC) estão disponíveis publicamente, o que reduz significativamente a barreira técnica para novos ataques. Qualquer pessoa com acesso à rede do servidor pode tentar a exploração usando ferramentas de código aberto ou scripts disponíveis em repositórios como GitHub. A ausência de detalhes públicos sobre os grupos responsáveis pelas explorações sugere que a campanha pode estar em estágio inicial, com potencial de escalada para operações de ransomware.
WebLogic tem histórico longo
O catálogo KEV da CISA já inclui uma dúzia de vulnerabilidades do WebLogic Server, a maioria com CVEs atribuídos em 2020 ou antes. Várias foram adicionadas anos após a correção pela Oracle, mostrando que a janela de exploração tende a ser longa para este produto. A primeira alerta da CISA sobre o WebLogic já havia sinalizado o risco de exploração ativa.
| CVE | Versões afetadas | CVSS | Requer autenticação |
|---|---|---|---|
| CVE-2024-21182 | 12.2.1.4.0, 14.1.1.0.0 | 7.5 | Não |
| CVE-2020-2551 | 10.3.6.0, 12.2.1.4 | 9.8 | Não |
| CVE-2020-14750 | 10.3.6.0, 12.2.1.4 | 9.8 | Não |
O que fazer agora
Organizações que executam Oracle WebLogic Server devem aplicar imediatamente o Critical Patch Update de julho de 2024 caso ainda não o tenham feito. Verifique se os protocolos T3 e IIOP estão expostos à internet — a CISA recomenda restringir o acesso a esses protocolos apenas a redes internas confiáveis.
Monitore transferências de dados incomuns a partir de servidores WebLogic e audite padrões de acesso para detectar anomalias. Considere implementar regras WAF específicas para bloquear requisições T3/IIOP de origens externas. Também é recomendado desabilitar completamente os protocolos T3 e IIOP se não forem estritamente necessários para a operação.