ハッカーたちは、オープンソースのタスクスケジューリングツール「Qinglong」の2つの認証バイパス脆弱性を悪用し、開発者のサーバーにクリプトマイナーを展開している。
クラウド・ネイティブ・アプリケーション・セキュリティ企業Snykの研究者によると、悪用は、セキュリティ問題が月末に公開される前の2月初旬に始まったという。
Qinglongは、中国の開発者の間で人気のある、セルフホスト型のオープンソース時間管理プラットフォームだ。3,200回以上フォークされ、GitHubには19,000以上のスターがついている。
この2つのセキュリティ問題は、Qinglongのバージョン2.20.1およびそれ以前のバージョンに影響し、リモートでコードを実行するために連鎖させることができます:
- CVE-2026-3965:誤った設定の書き換えルールが ‘/open/*’ リクエストを ‘/api/*’ にマップし、意図せずに認証されていないパスを通して保護された管理者エンドポイントを公開してしまう。
- CVE-2026-4047: 認証チェックはパスを大文字小文字を区別して (/api/) 扱いますが、ルータは大文字小文字を区別せずにマッチさせるため、 ‘/aPi/…’ のようなリクエストが認証をバイパスして保護されたエンドポイントに到達できてしまいます。
両方の欠陥の根本的な原因は、ミドルウェアの認証ロジックとExpress.jsのルーティング動作の不一致です。
「どちらの脆弱性も、セキュリティ・ミドルウェアの仮定とフレームワークの動作のミスマッチに起因しています」とSnykの研究者は説明する。
「認証レイヤーは、特定のURLパターンが常に1つの方法で処理されると仮定していましたが、Express.jsはそれらを異なる方法で処理しました。
Snykの報告によると、攻撃者は2月7日以降、クリプトマイナーを展開するために、一般に公開されているQinglongパネルのこれら2つの欠陥を標的にしている。
この活動はQinglongのユーザーによって最初に発見され、「.fullgc」という名前の不正な隠しプロセスがCPUパワーの85%から100%を使用していることが報告された。
この名前は、検出を回避するために、無害だがリソースを大量に消費するプロセスである「フルGC」を意図的に模倣している。
Snykによると、攻撃者はこの欠陥を悪用してQinglongのconfig.shを変更し、シェルコマンドを注入してマイナーを「/ql/data/db/.fullgc」にダウンロードし、バックグラウンドで実行したという。
file.551911.xyz」にあるリモートリソースは、Linux x86_64、ARM64、macOSを含むバイナリの複数の亜種をホストしていた。
攻撃は、NginxやSSLの背後を含むさまざまなセットアップで複数の感染が確認されながら継続し、Qinglongのメンテナは3月1日に事態に対応したばかりだった。
メンテナは脆弱性を認め、ユーザーに最新のアップデートをインストールするよう促した。しかし、プルリリース#2924の緩和策は、コマンドインジェクションパターンのブロックに焦点を当てたものであり、Snyk氏によると不十分であったという。
研究者は、効果的な修正はPR #2941で行われ、ミドルウェアの認証バイパスが修正されたと報告している。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments