Giriş
Siber saldırganlar, Qinglong açık kaynaklı görev zamanlayıcısında bulunan iki kimlik doğrulama atlatma açığından faydalanarak geliştiricilerin sunucularında kripto madencilik yazılımları dağıtıyorlar. Bu zafiyetlerin önemine dikkat çekmek için, saldırıların şubat ayının başlarında başladığı ve güvenlik açıklarının ay sonuna kadar kamuya açıklanmadığı belirtiliyor.
Saldırı Nasıl Çalışıyor?
Qinglong, Çinli geliştiriciler arasında popüler olan kendi kendine barındırılan bir zaman yönetimi platformudur ve 2.20.1 sürümünü içeren versiyonlar üzerinde etkili olan iki güvenlik sorunu bulunmaktadır. Bu zafiyetler uzaktan kod çalıştırma (RCE) potansiyeline sahiptir ve şu şekilde sıralanabilir:
- CVE-2026-3965: Yanlış yapılandırılmış bir yeniden yazma kuralı, ‘/open/*’ isteklerini ‘/api/*’ ile eşleştirerek korunan admin uç noktalarını kimlik doğrulama olmadan açığa çıkartmaktadır.
- CVE-2026-4047: Kimlik doğrulama kontrolü yolları büyük/küçük harf duyarlı olarak ele almasına karşın, yönlendirici yolları büyük/küçük harf duyarsız olarak eşleştirmekte, bu da ‘/aPi/…’ gibi isteklerin kimlik doğrulamanın atlatılmasına olanak tanımaktadır.
Her iki zafiyetin temel nedeni, middleware yetkilendirme mantığı ile Express.js yönlendirme davranışı arasındaki uyumsuzluktur. Snyk araştırmacıları, “Bu iki zafiyet, güvenlik middleware’inin varsayımları ile framework’ün davranışı arasındaki bir uyuşmazlıktan kaynaklanmaktadır.” açıklamasında bulunmaktadır.
Etkilenen Sistemler
Snyk’e göre, saldırganlar bu zafiyetleri, şubat ayının 7’sinden itibaren kamuya açık Qinglong panellerini hedef alarak kripto madenciler dağıtmak için kullanmıştır. Kullanıcılar, CPU güçlerinin %85 ila %100’ünü kullanan ‘.fullgc’ adında gizli bir süreçten şikâyet etmeye başlamışlardır. Bu isim, “Tam GC” olarak bilinen masum fakat kaynak yoğun bir işlemi taklit ederek tespiti önlemek amacıyla seçilmiştir.
Saldırganlar, Qinglong’un config.sh dosyasını modifiye ederek ‘file.551911.xyz’ adresinde barındırılan kripto madenci binary’lerini indiren shell komutları enjekte etmişlerdir. Bu kaynak, Linux x86_64, ARM64 ve macOS gibi çeşitli platformlar için birden fazla versiyonu içermektedir.
Saldırılar, Nginx ve SSL arkasında bulunan çeşitli kurulumlar da dahil olmak üzere devam etmiş ve Qinglong geliştirme ekibi durumu ancak 1 Mart’ta yanıtlayabilmiştir. Geliştirici, zafiyeti kabul ederek kullanıcıları en son güncellemeyi yüklemeye teşvik etmiştir. Ancak, pull release #2924’teki hafifletme önlemleri, Snyk tarafından yetersiz olarak değerlendirilmiştir.
Çözüm ve Korunma
Etkili bir düzeltme, PR #2941’de yer alan güncellemedir ve bu güncelleme, middleware üzerindeki kimlik doğrulama atlatmalarını düzeltmektedir. Kullanıcıların dikkat etmesi gereken önemli noktalar şunlardır:
- Qinglong sürümünüzü 2.20.1 veya daha yeni bir sürüme güncelleyin.
- Kimlik doğrulama sorunlarını önlemek için yazılımınızı kontrol edin.
- Port kapatma veya firewall ayarlarınızı gözden geçirin.
Aksiyon
Okuyucular, Qinglong kullanımını sürdürmek istiyorlarsa derhal yazılım güncellemelerini yapmalı, potansiyel zafiyetleri göz önünde bulundurarak sistemlerini korumalıdırlar. Güncel versiyonları yüklemek, güvenlik risklerini minimize etmek için kritik bir adımdır. Gerekirse ek siber güvenlik önlemleri alınarak sistemlerinizin güvenliğini artırın.
