Uma série de ataques está a explorar duas falhas de segurança no Qinglong, uma ferramenta de código aberto para agendamento de tarefas, com o objetivo de instalar software de mineração de criptomoedas nos servidores de programadores. A descoberta foi detalhada num relatório da Snyk, que aponta para o início da exploração das vulnerabilidades em fevereiro, antes mesmo da divulgação pública do problema.
A origem do erro e os sistemas afetados
O Qinglong é amplamente utilizado e conta com um forte apoio na plataforma GitHub, sendo popular na gestão de tempo para diversos projetos. O problema de segurança afeta as versões 2.20.1 e anteriores, permitindo a execução remota de código através da combinação de dois erros críticos nas suas defesas.
A primeira vulnerabilidade, registada como CVE-2026-3965, expõe áreas de administração sem exigir autenticação devido a uma regra de reescrita mal configurada. O segundo erro, designado por CVE-2026-4047, resulta da diferença no tratamento de caminhos entre a verificação de segurança e o sistema de encaminhamento do Express.js. Esta falha permite que pedidos com letras maiúsculas e minúsculas adulteradas consigam ultrapassar as barreiras de entrada e aceder a pontos sensíveis do sistema.
A ação do malware e as soluções implementadas
Os cibercriminosos aproveitam estas vulnerabilidades para modificar o ficheiro de configuração da ferramenta e descarregar um minerador de forma remota. Para tentar evitar a deteção, o processo disfarça-se ao adotar um nome comum e inofensivo no sistema, acabando por consumir entre 85% e 100% da capacidade de processamento da máquina afetada sem qualquer aviso.
O código malicioso alojado num servidor remoto possui múltiplas variantes adaptadas para funcionar em diferentes ambientes informáticos, incluindo arquiteturas ARM64, macOS e Linux. Após as queixas de vários utilizadores perante o consumo anormal de recursos dos seus servidores, os responsáveis pela plataforma reagiram no início de março. A primeira tentativa de resolução focou-se apenas em bloquear padrões de injeção de comandos, mas uma atualização posterior aplicou a correção efetiva ao reparar o erro no processo de autenticação.
Nenhum comentário
Seja o primeiro!