ハッカーはQinglong オープンソースタスクスケジューリングツールの2つの認証バイパス脆弱性を悪用して、開発者のサーバーに暗号通貨マイナーをデプロイしています。
クラウドネイティブアプリケーションセキュリティ企業Snykの研究者によると、セキュリティ問題が月末に公開される前の2月初旬から悪用が始まったとのことです。
Qinglongは、中国の開発者に人気のセルフホスト型オープンソース時間管理プラットフォームです。3,200回以上フォークされており、GitHub上で19,000以上のスターを獲得しています。
2つのセキュリティ問題はQinglongバージョン2.20.1以前に影響し、連鎖させてリモートコード実行を達成できます:
- CVE-2026-3965:設定ミスのあるリライトルールが’/open/*’リクエストを’/api/*’にマップし、意図せずに保護されたadminエンドポイントを認証されていないパスを通じて公開しています
- CVE-2026-4047:認証チェックはパスを大文字と小文字を区別して処理していますが(/api/)、ルーターは大文字と小文字を区別しない方法でマッチするため、’/aPi/…’のようなリクエストが認証をバイパスして保護されたエンドポイントに到達できます。
両方の欠陥の根本原因は、ミドルウェア認可ロジックとExpress.jsルーティング動作の間の不一致です。
「両方の脆弱性は、セキュリティミドルウェアの前提条件とフレームワークの動作の間の不一致に由来しています」とSnyk研究者は説明しています。
「認証層は特定のURLパターンが常に1つの方法で処理されると想定していましたが、Express.jsはそれらを異なる方法で処理しました。」
Snykは、攻撃者が2月7日以来、公開されているQinglongパネルのこれら2つの欠陥をターゲットにしてクリプトマイナーをデプロイしていると報告しています。
このアクティビティは最初にQinglongユーザーによって検出されました。彼らは報告したように、’.fullgc’という名前の不正な隠しプロセスがCPUパワーの85~100%を使用していました。
その名前は検出を回避するために、無害だがリソース集約的なプロセスである「Full GC」を意図的に模倣しています。
Snykによると、攻撃者は欠陥を悪用してQinglongのconfig.shを変更し、’/ql/data/db/.fullgc’にマイナーをダウンロードしてバックグラウンドで実行するシェルコマンドを注入しました。
‘file.551911.xyz’に位置するリモートリソースは、Linux x86_64、ARM64、およびmacOSを含むバイナリの複数のバリアントをホストしていました。
攻撃は継続され、Nginxとssl背後を含む様々なセットアップ全体で複数の確認された感染がありました。一方、Qinglongメンテナーは3月1日にのみ状況に対応しました。
メンテナーは脆弱性を認め、ユーザーに最新の更新をインストールするよう促しました。しかし、pull release #2924の緩和策はコマンドインジェクションパターンをブロックすることに焦点を当てていましたが、Snykはこれは不十分だと述べています。
研究者は、有効な修正がPR #2941で行われたと報告しており、これはミドルウェアの認証バイパスを修正しました。
Mythosが発見したもの99%はまだパッチされていません。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日&14日)では、自律的でコンテキストリッチな検証がどのように悪用可能なものを見つけ、コントロールが保持されることを証明し、修復ループを閉じるかをご覧ください。
