Hackers estão explorando duas vulnerabilidades de bypass de autenticação na ferramenta open source de agendamento de tarefas Qinglong para implantar cryptominers em servidores de desenvolvedores.
Segundo pesquisadores da empresa de segurança de aplicações nativas em cloud Snyk, a exploração começou no início de fevereiro, antes de as falhas serem divulgadas publicamente no fim do mês.
O Qinglong é uma plataforma open source de gerenciamento de tarefas, hospedada pelo próprio usuário e popular entre desenvolvedores chineses.
O projeto já foi copiado mais de 3.200 vezes e acumula mais de 19.000 estrelas no GitHub.
As duas falhas afetam a versão 2.20.1 e anteriores do Qinglong e podem ser combinadas para permitir execução remota de código:
CVE-2026-3965
: uma regra de reescrita configurada de forma incorreta mapeia solicitações de “/open/*” para “/api/*”, expondo sem intenção endpoints administrativos protegidos por meio de um caminho sem autenticação.
CVE-2026-4047: a checagem de autenticação trata os caminhos como sensíveis a maiúsculas e minúsculas (“/api/”), enquanto o roteador faz a correspondência de forma insensível a esse detalhe, permitindo que solicitações como “/aPi/...” burlem a autenticação e cheguem a endpoints protegidos.
A causa raiz das duas falhas é uma divergência entre a lógica de autorização do middleware e o comportamento de roteamento do Express.js.
“Ambas as vulnerabilidades decorrem de uma incompatibilidade entre as suposições do middleware de segurança e o comportamento do framework”, explicaram os pesquisadores da Snyk.
“A camada de autenticação presumiu que certos padrões de URL seriam sempre tratados de uma forma, enquanto o Express.js os tratou de outra.”
A Snyk afirma que os atacantes vêm mirando essas duas falhas em painéis do Qinglong expostos publicamente para implantar cryptominers desde 7 de fevereiro.
A atividade foi inicialmente percebida por usuários do Qinglong, que relataram a presença de um processo oculto e malicioso chamado “.fullgc”, consumindo entre 85% e 100% da capacidade da CPU.
O nome imita de propósito “Full GC”, um processo inofensivo, mas que exige muitos recursos, para dificultar a detecção.
De acordo com a Snyk, os atacantes exploraram as falhas para modificar o arquivo config.sh do Qinglong e inserir comandos de shell que baixavam um minerador para “/ql/data/db/.fullgc” e o executavam em segundo plano.
O recurso remoto hospedado em “file.551911.xyz” continha várias variantes do binário, incluindo versões para Linux x86_64, ARM64 e macOS.
Os ataques continuaram com múltiplas infecções confirmadas em diferentes ambientes, inclusive atrás de Nginx e SSL, enquanto os mantenedores do Qinglong só se manifestaram sobre o caso em 1º de março.
O mantenedor reconheceu a vulnerabilidade e orientou os usuários a instalar a atualização mais recente.
No entanto, a mitigação incluída no pull release #2924 se concentrou em bloquear padrões de injeção de comandos, o que, segundo a Snyk, foi insuficiente.
Os pesquisadores informam que a correção efetiva veio no PR #2941, que ajustou o bypass de autenticação no middleware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...