30.04.2026
1 хв
184
Хакери активно використовують дві критичні вразливості у відкритому планувальнику завдань Qinglong, щоб отримувати віддалений доступ до серверів і запускати на них криптомайнери. Атаки почалися ще до публічного розкриття проблеми і тривають щонайменше з початку лютого 2026 року.
Хакери почали активно використовувати дві критичні вразливості в Qinglong, щоб отримувати доступ до серверів і запускати на них криптомайнери. За даними дослідників, атаки стартували ще на початку лютого, задовго до публічного розкриття проблем.
Йдеться про популярну open source платформу для автоматизації задач, яку часто розгортають на власних серверах. Вона широко використовується розробниками, особливо в китайському ком’юніті, і має тисячі встановлень та високий рейтинг на GitHub.
Проблема виявилася одразу у двох уразливостях, які разом дозволяють повністю обійти захист і виконувати довільний код на сервері. Вони зачіпають версії Qinglong 2.20.1 і старіші:
CVE-2026-3965 відкриває доступ до адміністративних endpoint’ів через некоректне переписування URL
CVE-2026-4047 дозволяє обійти автентифікацію через різницю в обробці регістру символів
«Обидві вразливості виникають через невідповідність між припущеннями проміжного програмного забезпечення безпеки та поведінкою фреймворку».
І додають:
«Рівень автентифікації припускав, що певні шаблони URL-адрес завжди будуть оброблятися одним способом, тоді як Express.js обробляв їх по-іншому».
Фактично це означає, що система захисту і маршрутизація запитів працювали неузгоджено, чим і скористались зловмисники.
Перші ознаки атак помітили самі користувачі. Вони звернули увагу на дивний процес під назвою .fullgc, який навантажував процесор майже на максимум. Назва виглядає як технічний процес і не викликає підозр, що дозволяє довше залишатися непоміченим.
Цю активність вперше помітили користувачі Qinglong, які повідомили про шахрайський прихований процес під назвою «.fullgc», що використовує від 85% до 100% потужності їхнього процесора.
Зловмисники використовували сервер file.551911.xyz, де зберігали різні версії майнера під різні системи, включно з Linux, ARM і macOS. Атаки не були поодинокими. Випадки зараження фіксувалися в різних мережах, у тому числі за Nginx і SSL, що говорить про масштаб кампанії.
Розробники Qinglong відреагували лише на початку березня. Вони підтвердили проблему і порадили користувачам терміново оновитися. Водночас перші спроби закрити уразливість були неповними, оскільки обмежувалися лише фільтрацією команд, що, за оцінкою Snyk, не вирішувало проблему повністю.
У результаті ця історія ще раз показує просту річ: навіть популярні open source інструменти можуть стати точкою входу для атак, особливо якщо вони доступні з інтернету і не оновлюються вчасно.
