ハッカーたちは、人気のあるオープンソースのタスクスケジューリングプラットフォームである Qinglong の 2 つの深刻な認証バイパス脆弱性を積極的に悪用しています。
これらの欠陥により、攻撃者は任意のコードを実行でき、リソース消費型の暗号採掘マルウェアを脆弱なサーバーに展開できます。
Qinglong は自己ホスト型の タスク管理プラットフォームで、開発者が Python、JavaScript、Shell、TypeScript スクリプトを使用してバックグラウンドタスクを自動化するために使用されます。
GitHub で 19,000 以上のスターを獲得しており、Docker コンテナを介してクラウド環境とホームサーバーで実行する中国の開発者の間で非常に人気があります。
認証バイパス脆弱性
進行中の攻撃は、Qinglong バージョン 2.20.1 およびそれ以前に影響を与える 2 つの異なるセキュリティ欠陥を利用しています。両方の問題は、Express.js ルーティングフレームワークとアプリケーションの内部セキュリティミドルウェア間の不一致から生じます。
最初の欠陥は CVE-2026-3965 として追跡され、URL 書き換え脆弱性です。認証されていない、非常に特定のリクエストをオープンエンドポイントに送信することで、攻撃者はシステムに 管理者パスワードをリセットさせることができ、ダッシュボードの完全な制御を獲得できます。
2 番目の欠陥である CVE-2026-4047 は、認証情報をリセットする必要なしにリモートコード実行(RCE)を許可します。
アプリケーションのセキュリティレイヤーは小文字の URL パスを具体的にチェックしますが、Express.js サーバーはそれらを大文字と小文字を区別せずに処理します。攻撃者は /api/ の代わりに /aPi/ などの大文字のパスをリクエストして、セキュリティチェックをバイパスし、悪意のあるシステムコマンドを実行できます。Synk が報告した通り。
これらの欠陥の悪用は 2026 年 2 月初旬に始まりました。システム管理者は、サーバーの CPU 使用率が突然ほぼ 100% に達したときに、異常なアクティビティに気付き始めました。
攻撃者がプラットフォームへのアクセスを取得した後、Qinglong の構成ファイルを変更して、外部ドメインから悪意のあるバイナリをダウンロードしました。
このマルウェアは .fullgc という名前の隠しファイルとして保存されました。ハッカーはこの名前を具体的に選択して「フルガベージコレクション」を模倣しました。これは Java 環境での通常のバックグラウンドプロセスで、忙しい管理者による検出を回避するための努力です。
マルウェアは複数のアーキテクチャを多く標的にしており、Linux と macOS を含む、およびカスタム永続化スクリプトが含まれています。これにより、管理者がプロセスを停止しようとした場合、マイナーが自動的に再起動することが保証されます。
初期のコミュニティ修正は特定の悪意のあるスクリプト入力をブロックすることを目的としていましたが、プラットフォームを適切に保護するには、基礎となるアクセス制御脆弱性にパッチを当てる必要がありました。プロジェクトメンテナーは、ミドルウェアロジックを修正するための公式更新を発表しました。
ユーザーは、Qinglong Docker コンテナをすぐに最新バージョンに更新する必要があります。さらに、管理者は隠しファイル .fullgc をチェックするか、構成ファイルで不正な外部ドメインを検索することで、脅威を積極的に探す必要があります。
自己ホスト型タスクスケジューラーをインターネットに直接公開することは非常に危険です。チームは常に仮想プライベートネットワーク(VPN)またはセキュアトンネルの背後にあるこれらの管理 Web パネルを保護する必要があります。
翻訳元: https://gbhackers.com/qinglong-task-scheduler-rce-flaws/
