Hackers exploit RCE flaws in Qinglong task scheduler for cryptomining
Mis à jour :
Exploitation de vulnérabilités RCE dans Qinglong pour le minage illicite
Des attaquants exploitent activement deux vulnérabilités de contournement d’authentification dans l’outil de planification de tâches open-source Qinglong (versions 2.20.1 et antérieures) afin de déployer des mineurs de cryptomonnaie sur les serveurs des utilisateurs. Les attaquants injectent des commandes shell pour installer un processus malveillant nommé .fullgc, conçu pour saturer les ressources CPU.
Points clés :
- Les attaques ont débuté le 7 février, avant même la divulgation publique des failles.
- Le logiciel malveillant s’exécute en arrière-plan et cible diverses architectures (Linux x86_64, ARM64 et macOS).
- La cause profonde réside dans une incohérence entre la logique d’autorisation du middleware et la gestion du routage par le framework Express.js.
Vulnérabilités :
- CVE-2026-3965 : Une règle de réécriture mal configurée expose des points de terminaison administrateur protégés via un chemin non authentifié (
/open/*). - CVE-2026-4047 : Une incohérence dans la gestion de la casse des URL permet de contourner les contrôles d’authentification (ex: utilisation de
/aPi/au lieu de/api/).
Recommandations :
- Mettre à jour Qinglong vers une version incluant le correctif définitif (PR #2941), qui résout les failles au niveau du middleware.
- Ne pas se limiter à une mise à jour partielle (telle que celle proposée initialement dans la PR #2924), jugée insuffisante par les chercheurs.
- Vérifier la présence de processus suspects utilisant anormalement les ressources système (ex:
.fullgc) sur les serveurs hébergeant l’outil.