Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 04.06.2026 · 4 min Lesezeit

Oracle WebLogic CVE‑2024‑21182: CISA setzt Bundesbehörden-Frist 4. Juni 2026 – Ransomware-Angriffe beobachtet

CISA nahm CVE-2024-21182 am 1. Juni 2026 in den KEV-Katalog auf: Eine unauthentifizierte RCE-Lücke in Oracle WebLogic Server wird aktiv für Ransomware-, Cobalt-Strike- und Kryptominer-Angriffe ausgenutzt. Der Patch existiert seit Juli 2024 – ungepatchte Server sind unmittelbar gefährdet.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Sicherheitslücke in einem Server-Rechenzentrum – symbolische Darstellung einer Cyberattacke

Eine zwei Jahre alte Sicherheitslücke im Oracle WebLogic Server wird seit Mitte Mai 2026 aktiv für Ransomware-Kampagnen, Cobalt Strike Beacons und Kryptominer missbraucht. CVE-2024-21182 erlaubt unauthentifizierten Angreifern über die Netzwerkprotokolle T3 und IIOP eine vollständige Serverkompromittierung – ohne gültige Zugangsdaten. Die US-amerikanische Sicherheitsbehörde CISA hat die Schwachstelle am 1. Juni 2026 in ihren Known Exploited Vulnerabilities-Katalog (KEV) aufgenommen und US-Bundesbehörden verpflichtet, bis zum 4. Juni 2026 zu patchen. Der Patch selbst ist seit dem Oracle Critical Patch Update vom Juli 2024 verfügbar – viele Installationen weltweit sind jedoch nach wie vor ungepacht.

Die Schwachstelle im Detail

CVE-2024-21182 ist mit einem CVSS-Score von 7,5 als hoch kritisch eingestuft. Die Lücke liegt in der Art und Weise, wie Oracle WebLogic Server eingehende Verbindungen über die Protokolle T3 und IIOP verarbeitet. Ein Angreifer mit Netzwerkzugang zu den WebLogic-Standardports 7001 und 7002 kann ohne Authentifizierung beliebigen Code auf dem Server ausführen und diesen vollständig übernehmen.

Betroffen sind ausschließlich die Versionen 12.2.1.4.0 und 14.1.1.0.0 des Oracle WebLogic Server. Da WebLogic-Lücken historisch innerhalb von Stunden nach der öffentlichen Exploit-Verfügbarkeit aktiv ausgenutzt werden, ist das Zeitfenster für ungepatchte Server äußerst gering.

Honeypot-Systeme verschiedener Sicherheitsanbieter meldeten ab Mitte Mai 2026 einen deutlich erhöhten Scan- und Angriffsverkehr auf Ports 7001 und 7002. Als Nutzlasten wurden Sodinokibi-Ransomware (auch bekannt als REvil), Cobalt Strike Beacons für nachgelagerte Angriffe sowie klassische Kryptominer dokumentiert.

Bin ich betroffen?

Betroffen sind alle ungepatchten Installationen von:

ProduktBetroffene VersionStatus
Oracle WebLogic Server12.2.1.4.0Verwundbar ohne Juli-2024-Patch
Oracle WebLogic Server14.1.1.0.0Verwundbar ohne Juli-2024-Patch

Administratoren können die installierte Version über die WebLogic-Administrationskonsole oder per Kommandozeile prüfen. Besonders gefährdet sind Umgebungen, bei denen die Ports 7001 und 7002 direkt aus dem Internet oder aus nicht vertrauenswürdigen Netzsegmenten erreichbar sind.

Die Überprüfung, ob T3/IIOP-Protokolle aktiv und von außen erreichbar sind, sollte unmittelbar erfolgen. Auch interne WebLogic-Installationen ohne direkten Internet-Zugang sind nicht automatisch sicher – seitliche Bewegungen im Netzwerk nach einer initialen Kompromittierung ermöglichen ebenfalls den Zugriff.

Wie behebe ich das?

Oracle hat die Schwachstelle im Critical Patch Update (CPU) vom Juli 2024 geschlossen. Administratoren sollten diesen Patch unverzüglich einspielen, sofern dies nicht bereits geschehen ist. Die Patches sind über Oracle My Support verfügbar.

Neben dem Einspielen des Patches empfehlen Sicherheitsexperten folgende Sofortmaßnahmen:

  • WebLogic-Administrations- und Managed-Server-Ports (7001, 7002) nicht direkt aus dem Internet erreichbar machen
  • T3- und IIOP-Protokoll-Filter auf Firewall- und Load-Balancer-Ebene aktivieren, falls ein sofortiges Patchen nicht möglich ist
  • Netzwerksegmentierung überprüfen: WebLogic-Server in isolierte Netzwerksegmente mit strikten Zugriffsregeln verschieben
  • Logs auf ungewöhnliche Verbindungsversuche auf Ports 7001/7002 aus unbekannten Quellen prüfen

Wie eine robuste Firewall-Segmentierung und Netzwerktrennung grundsätzlich umgesetzt wird, beschreibt die Anleitung zur pfSense/OPNsense-Firewall-Erstkonfiguration auf s-edv.com. Ergänzend empfiehlt sich ein strukturiertes Vorgehen für den Ernstfall, wie es der Ransomware-Notfallplan für die ersten 60 Minuten beschreibt.

Was bedeutet das für Unternehmen?

Die KEV-Aufnahme durch CISA ist ein klares Signal: Diese Schwachstelle wird aktiv und breit ausgenutzt, nicht nur theoretisch diskutiert. Obwohl die KEV-Verpflichtung formal nur US-Bundesbehörden betrifft, orientieren sich viele Sicherheitsverantwortliche weltweit an diesem Katalog als Priorisierungshilfe.

Besonders exponiert sind Unternehmen mit Oracle- und SAP-Infrastruktur sowie öffentlich erreichbaren Application-Servern – etwa in Branchen wie Finanzen, Logistik und öffentliche Verwaltung, die WebLogic als Middleware für geschäftskritische Anwendungen einsetzen. Der Einsatz von Sodinokibi-Ransomware als Nutzlast ist dabei besonders besorgniserregend: Diese Ransomware-Familie ist für ihre aggressiven Erpressungsforderungen und die doppelte Erpressungstaktik (Datenverschlüsselung plus Veröffentlichungsdrohung) bekannt.

Die Tatsache, dass der Patch seit fast zwei Jahren verfügbar ist und Angreifer die Lücke dennoch aktiv ausnutzen, verdeutlicht ein strukturelles Problem im Patch-Management vieler Organisationen. Unternehmen sollten ihre WebLogic-Installationen sofort inventarisieren und den Patch-Status prüfen. Wo ein unmittelbares Patchen nicht möglich ist, sind Netzwerk-Mitigationen als temporäre Schutzmaßnahme zwingend erforderlich.

The Hacker News berichtete am 2. Juni 2026 über laufende Exploitation-Kampagnen und wies dabei explizit auf den historischen Zusammenhang hin: WebLogic-Schwachstellen werden regelmäßig binnen Stunden nach Exploit-Veröffentlichung in großem Maßstab angegriffen.

Quellen

Verwandt

Weiter lesen

Alle Artikel →
Symbolbild HTTP/2 Bomb DoS-Angriff auf Webserver
04.06.2026 ·4 min

HTTP/2 Bomb (CVE-2026-49975): Kritische DoS-Lücke trifft nginx, Apache, IIS und Envoy

CVE-2026-49975 „HTTP/2 Bomb" (CVSS 9,8) nutzt HPACK-Kompressions-Amplifikation, um Server in Sekunden lahmzulegen. Patches gibt es bisher nur für nginx 1.29.8 und Apache mod_http2 2.0.41 – IIS, Envoy und Pingora sind noch ungepatcht.
Strukturierte Netzwerk-Topologie mit verbundenen Knoten, Subnetzen und Geräten als Symbol für Netzwerkdokumentation und IPAM
03.06.2026 ·11 min

Netzwerkdokumentation und IP-Adressplan (IPAM) erstellen

So erstellst du eine belastbare Netzwerkdokumentation und einen sauberen IP-Adressplan (IPAM): Mindestumfang, durchdachtes Subnetz-Schema, NetBox und phpIPAM im Vergleich plus Einrichtung per Docker – mit Vorlagen, Checklisten und einem Pflegeprozess, der die Doku aktuell hält.
Warn-Infografik zu CVE-2026-0257 in Palo Alto GlobalProtect, mit aktiv ausgenutzter VPN-Authentifizierungsumgehung, betroffenem PAN-OS-Gateway, gefälschten Override-Cookies und dringendem Patchen oder Deaktivieren der Authentifizierungsübersteuerung.
03.06.2026 ·3 min

Palo Alto GlobalProtect (CVE-2026-0257): VPN-Authentifizierungsumgehung wird aktiv ausgenutzt

Sicherheitsforschende von Rapid7 bestätigen die aktive Ausnutzung von CVE-2026-0257 in Palo Alto GlobalProtect. Angreifer fälschen Authentifizierungs-Cookies und umgehen so den VPN-Login. CISA hat eine Patch-Frist gesetzt.