Peretas mengeksploitasi dua kerentanan bypass otentikasi di alat penjadwalan tugas sumber terbuka Qinglong untuk menyebarkan cryptominers di server pengembang.
Eksploitasi dimulai pada awal Februari, sebelum masalah keamanan diungkapkan secara publik pada akhir bulan, menurut para peneliti di perusahaan keamanan aplikasi cloud-native, Snyk.
Qinglong adalah platform manajemen waktu sumber terbuka yang dihosting sendiri dan populer di kalangan pengembang Tiongkok. Ini telah di-fork lebih dari 3.200 kali dan telah berakhir 19.000 bintang di GitHub.
Kedua masalah keamanan ini berdampak pada Qinglong versi 2.20.1 dan yang lebih lama dan dapat dirangkai untuk mencapai eksekusi kode jarak jauh:
- CVE-2026-3965: Aturan penulisan ulang yang salah dikonfigurasi memetakan permintaan ‘/open/*’ ke ‘/api/*’, secara tidak sengaja mengekspos titik akhir admin yang dilindungi melalui jalur yang tidak diautentikasi
- CVE-2026-4047: Pemeriksaan autentikasi memperlakukan jalur sebagai peka huruf besar-kecil (/api/), sementara router mencocokkannya tanpa membedakan huruf besar/kecil, sehingga permintaan seperti ‘/aPi/…’ dapat melewati autentikasi dan mencapai titik akhir yang dilindungi.
Penyebab utama kedua kelemahan tersebut adalah ketidakcocokan antara logika otorisasi middleware dan perilaku perutean Express.js.
“Kedua kerentanan tersebut berasal dari ketidaksesuaian antara asumsi middleware keamanan dan perilaku kerangka kerja,” Peneliti Snyk menjelaskan.
“Lapisan autentikasi mengasumsikan pola URL tertentu akan selalu ditangani dengan satu cara, sedangkan Express.js memperlakukannya secara berbeda.”
Snyk melaporkan bahwa penyerang telah menargetkan dua kelemahan ini pada panel Qinglong yang terekspos secara publik untuk menyebarkan cryptominers sejak 7 Februari.
Aktivitas ini pertama kali ditemukan oleh pengguna Qinglong, siapa yang melaporkan tentang proses tersembunyi jahat bernama ‘.fullgc’ yang memanfaatkan antara 85% dan 100% daya CPU-nya.
Nama tersebut sengaja meniru “Full GC”, sebuah proses yang tidak berbahaya namun membutuhkan banyak sumber daya, untuk menghindari deteksi.
Menurut Snyk, penyerang mengeksploitasi kelemahan tersebut untuk memodifikasi config.sh Qinglong dan memasukkan perintah shell yang mengunduh penambang ke ‘/ql/data/db/.fullgc,’ dan mengeksekusinya di latar belakang.
Sumber daya jarak jauh yang terletak di ‘file.551911.xyz’ menghosting beberapa varian biner, termasuk untuk Linux x86_64, ARM64, dan macOS.
Serangan lanjutan dengan banyak infeksi yang dikonfirmasi di berbagai pengaturan, termasuk di belakang Nginx dan SSL, sedangkan pengelola Qinglong baru merespons situasi tersebut pada tanggal 1 Maret.
Pengelola mengakui kerentanan tersebut dan mendesak pengguna untuk menginstal pembaruan terkini. Namun, mitigasi dalam rilis tarik #2924 berfokus pada pemblokiran pola injeksi perintah, yang menurut Snyk tidak cukup.
Para peneliti melaporkan bahwa perbaikan efektif terjadi pada PR #2941, yang memperbaiki bypass otentikasi di middleware.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
