Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакерите ги искористуваат недостатоците на RCE во распоредувачот на задачи на Qinglong за крипто-рударење

Објавено: 30.04.2026

Хакери експлоатираат две ранливости за заобиколување на автентикација во open-source алатката за распоредување задачи Qinglong, со цел да инсталираат криптомајнери на серверите на програмерите.

Експлоатацијата започнала на почетокот на февруари, пред безбедносните проблеми јавно да бидат објавени кон крајот на месецот, според истражувачите од Snyk.

Qinglong е self-hosted open-source платформа за управување со задачи, популарна меѓу кинеските програмери. Проектот има повеќе од 3.200 fork-ови и над 19.000 ѕвезди на GitHub.

Двата безбедносни проблеми ги погодуваат верзиите 2.20.1 и постари, и можат да се комбинираат за да се постигне remote code execution (RCE):

  • CVE-2026-3965: Погрешно конфигурирано rewrite правило ги мапира ‘/open/’ барањата кон ‘/api/’, ненамерно изложувајќи заштитени админ endpoint-и преку неавтентициран пат
  • CVE-2026-4047: Проверката за автентикација ги третира патеките како чувствителни на големина на букви (/api/), додека router-от ги третира како нечувствителни, овозможувајќи барања како ‘/aPi/…’ да ја заобиколат автентикацијата

Основната причина за двете ранливости е несовпаѓање меѓу логиката за авторизација во middleware и однесувањето на Express.js.

„Двете ранливости произлегуваат од несовпаѓање меѓу претпоставките на безбедносниот middleware и однесувањето на framework-от,“ објаснуваат истражувачите од Snyk.

„Auth слојот претпоставувал дека одредени URL обрасци секогаш ќе се обработуваат на еден начин, додека Express.js ги третирал поинаку.“

Според Snyk, напаѓачите ги таргетираат овие ранливости на јавно изложени Qinglong панели од 7 февруари, за да инсталираат криптомајнери.

Оваа активност првично била забележана од корисници на Qinglong, кои пријавиле сомнителен скриен процес наречен „.fullgc“ што користел помеѓу 85% и 100% од CPU ресурсите.

Името намерно имитира „Full GC“ (гарbage collection процес), кој е легитимен но ресурсно интензивен, со цел да избегне детекција.

Според Snyk, напаѓачите ги искористиле ранливостите за да го модифицираат config.sh фајлот на Qinglong и вметнале shell команди кои преземаат криптомајнер во ‘/ql/data/db/.fullgc’ и го извршуваат во позадина.

Оддалечениот ресурс „file.551911.xyz“ хостирал повеќе варијанти на бинарниот фајл, вклучувајќи за Linux x86_64, ARM64 и macOS.

Нападите продолжиле со повеќе потврдени инфекции во различни конфигурации, вклучувајќи системи зад Nginx и SSL, додека одржувачите на Qinglong реагирале дури на 1 март.

Одржувачот ја призна ранливоста и ги повика корисниците да ја инсталираат најновата надградба. Сепак, првичната мерка (pull request #2924) се фокусирала на блокирање на шаблони за command injection, што според Snyk не било доволно.

Истражувачите наведуваат дека вистинското решение дошло со PR #2941, кое го поправило проблемот со заобиколување на автентикацијата во middleware-от.

Извори:

  • Bleeping Computer – Hackers exploit RCE flaws in Qinglong task scheduler for cryptomining Bleeping Computer