⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão explorando duas vulnerabilidades de desvio de autenticação na ferramenta de agendamento de tarefas de código aberto Qinglong para implantar criptomineradores nos servidores dos desenvolvedores.
A exploração começou no início de fevereiro, antes que as questões de segurança fossem divulgadas publicamente no final do mês, de acordo com pesquisadores da empresa de segurança de aplicativos nativos da nuvem Snyk.
Qinglong é uma plataforma de gerenciamento de tempo de código aberto auto-hospedada, popular entre os desenvolvedores chineses. Ele foi bifurcado mais de 3.200 vezes e tem mais de 19.000 estrelas no GitHub.
Os dois problemas de segurança afetam as versões 2.20.1 e anteriores do Qinglong e podem ser encadeados para obter execução remota de código:
CVE-2026-3965: Uma regra de reescrita mal configurada mapeia solicitações ‘/open/*’ para ‘/api/*’, expondo involuntariamente endpoints administrativos protegidos por meio de um caminho não autenticado
CVE-2026-4047: A verificação de autenticação trata os caminhos como diferenciando maiúsculas de minúsculas (/api/), enquanto o roteador os corresponde sem distinção entre maiúsculas e minúsculas, permitindo que solicitações como ‘/aPi/...’ ignorem a autenticação e alcancem endpoints protegidos.
A causa raiz de ambas as falhas é uma incompatibilidade entre a lógica de autorização do middleware e o comportamento de roteamento do Express.js.
“Ambas as vulnerabilidades resultam de uma incompatibilidade entre as suposições do middleware de segurança e o comportamento da estrutura”, explicam os pesquisadores da Snyk.
“A camada de autenticação presumia que certos padrões de URL sempre seriam tratados de uma maneira, enquanto o Express.js os tratava de maneira diferente.”
Snyk relata que os invasores têm como alvo essas duas falhas em painéis Qinglong expostos publicamente para implantar criptomineradores desde 7 de fevereiro.
Esta atividade foi detectada pela primeira vez por usuários do Qinglong, que relataram sobre um processo oculto desonesto chamado ‘.fullgc’ utilizando entre 85% e 100% da potência da CPU.
O nome imita deliberadamente “Full GC”, um processo inócuo, mas que consome muitos recursos, para evitar a detecção.
De acordo com Snyk, os invasores exploraram as falhas para modificar o config.sh do Qinglong e injetaram comandos shell que baixaram um minerador para ‘/ql/data/db/.fullgc’ e o executaram em segundo plano.
O recurso remoto localizado em ‘file.551911.xyz’ hospedava múltiplas variantes do binário, inclusive para Linux x86_64, ARM64 e macOS.
Os ataques continuaram com múltiplas infecções confirmadas em várias configurações, inclusive atrás de Nginx e SSL, enquanto os mantenedores do Qinglong só responderam à situação em 1º de março.
O mantenedor reconheceu a vulnerabilidade e pediu aos usuários que instalassem a atualização mais recente. No entanto, a mitigação na versão pull nº 2924 se concentrou no bloqueio de padrões de injeção de comando, o que Snyk diz ser insuficiente.
Os pesquisadores relatam que a correção efetiva veio no PR #2941, que corrigiu o desvio de autenticação no middleware.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A exploração começou no início de fevereiro, antes que as questões de segurança fossem divulgadas publicamente no final do mês, de acordo com pesquisadores da empresa de segurança de aplicativos nativos da nuvem Snyk.
Qinglong é uma plataforma de gerenciamento de tempo de código aberto auto-hospedada, popular entre os desenvolvedores chineses. Ele foi bifurcado mais de 3.200 vezes e tem mais de 19.000 estrelas no GitHub.
Os dois problemas de segurança afetam as versões 2.20.1 e anteriores do Qinglong e podem ser encadeados para obter execução remota de código:
CVE-2026-3965: Uma regra de reescrita mal configurada mapeia solicitações ‘/open/*’ para ‘/api/*’, expondo involuntariamente endpoints administrativos protegidos por meio de um caminho não autenticado
CVE-2026-4047: A verificação de autenticação trata os caminhos como diferenciando maiúsculas de minúsculas (/api/), enquanto o roteador os corresponde sem distinção entre maiúsculas e minúsculas, permitindo que solicitações como ‘/aPi/...’ ignorem a autenticação e alcancem endpoints protegidos.
A causa raiz de ambas as falhas é uma incompatibilidade entre a lógica de autorização do middleware e o comportamento de roteamento do Express.js.
“Ambas as vulnerabilidades resultam de uma incompatibilidade entre as suposições do middleware de segurança e o comportamento da estrutura”, explicam os pesquisadores da Snyk.
“A camada de autenticação presumia que certos padrões de URL sempre seriam tratados de uma maneira, enquanto o Express.js os tratava de maneira diferente.”
Snyk relata que os invasores têm como alvo essas duas falhas em painéis Qinglong expostos publicamente para implantar criptomineradores desde 7 de fevereiro.
Esta atividade foi detectada pela primeira vez por usuários do Qinglong, que relataram sobre um processo oculto desonesto chamado ‘.fullgc’ utilizando entre 85% e 100% da potência da CPU.
O nome imita deliberadamente “Full GC”, um processo inócuo, mas que consome muitos recursos, para evitar a detecção.
De acordo com Snyk, os invasores exploraram as falhas para modificar o config.sh do Qinglong e injetaram comandos shell que baixaram um minerador para ‘/ql/data/db/.fullgc’ e o executaram em segundo plano.
O recurso remoto localizado em ‘file.551911.xyz’ hospedava múltiplas variantes do binário, inclusive para Linux x86_64, ARM64 e macOS.
Os ataques continuaram com múltiplas infecções confirmadas em várias configurações, inclusive atrás de Nginx e SSL, enquanto os mantenedores do Qinglong só responderam à situação em 1º de março.
O mantenedor reconheceu a vulnerabilidade e pediu aos usuários que instalassem a atualização mais recente. No entanto, a mitigação na versão pull nº 2924 se concentrou no bloqueio de padrões de injeção de comando, o que Snyk diz ser insuficiente.
Os pesquisadores relatam que a correção efetiva veio no PR #2941, que corrigiu o desvio de autenticação no middleware.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #hackers #exploram #falhas #de #rce #no #agendador #de #tarefas #qinglong #para #criptomineração
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário