Οι χάκερ εκμεταλλεύονται δύο τρωτά σημεία παράκαμψης ελέγχου ταυτότητας στο εργαλείο προγραμματισμού εργασιών ανοιχτού κώδικα Qinglong για να αναπτύξουν cryptominers σε διακομιστές προγραμματιστών.
Η εκμετάλλευση ξεκίνησε στις αρχές Φεβρουαρίου, προτού τα ζητήματα ασφαλείας αποκαλυφθούν δημόσια στο τέλος του μήνα, σύμφωνα με ερευνητές της εταιρείας ασφάλειας εφαρμογών Snyk.
Το Qinglong είναι μια αυτο-φιλοξενούμενη πλατφόρμα διαχείρισης χρόνου ανοιχτού κώδικα, δημοφιλής στους Κινέζους προγραμματιστές. Έχει διχαλωθεί περισσότερες από 3.200 φορές και έχει τελειώσει 19.000 αστέρια στο GitHub.
Τα δύο προβλήματα ασφαλείας επηρεάζουν τις εκδόσεις Qinglong 2.20.1 και παλαιότερες και μπορούν να συνδεθούν με αλυσίδα για να επιτευχθεί απομακρυσμένη εκτέλεση κώδικα:
- CVE-2026-3965: Ένας εσφαλμένος κανόνας επανεγγραφής αντιστοιχίζει τα αιτήματα ‘/open/*’ στο ‘/api/*’, εκθέτοντας αθέλητα προστατευμένα τελικά σημεία διαχειριστή μέσω μιας διαδρομής χωρίς έλεγχο ταυτότητας
- CVE-2026-4047: Ο έλεγχος ελέγχου ταυτότητας αντιμετωπίζει τις διαδρομές ως διάκριτες πεζών-κεφαλαίων (/api/), ενώ ο δρομολογητής τις αντιστοιχίζει χωρίς διάκριση πεζών-κεφαλαίων, επιτρέποντας σε αιτήματα όπως το ‘/aPi/…’ να παρακάμψουν τον έλεγχο ταυτότητας και να φτάσουν σε προστατευμένα τελικά σημεία.
Η βασική αιτία και στα δύο ελαττώματα είναι η αναντιστοιχία μεταξύ της λογικής εξουσιοδότησης ενδιάμεσου λογισμικού και της συμπεριφοράς δρομολόγησης του Express.js.
“Και τα δύο τρωτά σημεία προέρχονται από μια αναντιστοιχία μεταξύ των υποθέσεων του ενδιάμεσου λογισμικού ασφαλείας και της συμπεριφοράς του πλαισίου.” Οι ερευνητές της Snyk εξηγούν.
“Το επίπεδο auth υπέθεσε ότι ορισμένα μοτίβα διευθύνσεων URL θα αντιμετωπίζονταν πάντα με έναν τρόπο, ενώ το Express.js τα αντιμετώπιζε διαφορετικά.”
Η Snyk αναφέρει ότι οι επιτιθέμενοι στοχεύουν αυτά τα δύο ελαττώματα σε δημόσια εκτεθειμένα πάνελ Qinglong για να αναπτύξουν cryptominers από τις 7 Φεβρουαρίου.
Αυτή η δραστηριότητα εντοπίστηκε για πρώτη φορά από χρήστες του Qinglong, που ανέφερε σχετικά με μια αδίστακτη κρυφή διαδικασία που ονομάζεται “.fullgc” που χρησιμοποιεί μεταξύ 85% και 100% της ισχύος της CPU τους.
Το όνομα μιμείται σκόπιμα το “Full GC”, μια αβλαβή αλλά εντατική διαδικασία πόρων, για να αποφύγει τον εντοπισμό.
Σύμφωνα με τον Snyk, οι εισβολείς εκμεταλλεύτηκαν τα ελαττώματα για να τροποποιήσουν το config.sh του Qinglong και εισήγαγαν εντολές φλοιού που κατέβασαν ένα miner στο ‘/ql/data/db/.fullgc’ και το εκτέλεσαν στο παρασκήνιο.
Ο απομακρυσμένος πόρος που βρίσκεται στο ‘file.551911.xyz’ φιλοξενούσε πολλές παραλλαγές του δυαδικού αρχείου, συμπεριλαμβανομένων των Linux x86_64, ARM64 και macOS.
Οι επιθέσεις συνέχισε με πολλαπλές επιβεβαιωμένες λοιμώξεις σε διάφορες ρυθμίσεις, συμπεριλαμβανομένων πίσω από το Nginx και το SSL, ενώ οι συντηρητές Qinglong ανταποκρίθηκαν στην κατάσταση μόνο την 1η Μαρτίου.
Ο συντηρητής αναγνώρισε την ευπάθεια και προέτρεψε τους χρήστες να εγκαταστήσουν την πιο πρόσφατη ενημέρωση. Ωστόσο, ο μετριασμός στην απελευθέρωση έλξης #2924 επικεντρώθηκε στον αποκλεισμό των μοτίβων ένεσης εντολών, τα οποία ο Snyk λέει ότι ήταν ανεπαρκής.
Οι ερευνητές αναφέρουν ότι η αποτελεσματική επιδιόρθωση ήρθε στο PR #2941, το οποίο διόρθωσε την παράκαμψη ελέγχου ταυτότητας στο ενδιάμεσο λογισμικό.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
