Peretas Eksploitasi Celah RCE di Penjadwal Tugas Qinglong untuk Penambangan Kripto
Peretas dilaporkan tengah mengeksploitasi dua kerentanan bypass autentikasi pada alat penjadwalan tugas sumber terbuka (open-source) Qinglong untuk menyebarkan penambang kripto (cryptominer) di server para pengembang.
Menurut para peneliti di perusahaan keamanan aplikasi cloud-native Snyk, eksploitasi ini sudah dimulai sejak awal Februari 2026, jauh sebelum masalah keamanan tersebut diungkapkan ke publik pada akhir bulan. Qinglong sendiri adalah platform manajemen waktu self-hosted yang sangat populer di kalangan pengembang Tiongkok, dengan lebih dari 3.200 forks dan 19.000 bintang (stars) di GitHub.
Dua Kerentanan Bypass Autentikasi
Masalah keamanan ini berdampak pada Qinglong versi 2.20.1 dan yang lebih lama. Keduanya dapat dirangkai (chained) untuk mencapai eksekusi kode jarak jauh (RCE):
- CVE-2026-3965: Aturan penulisan ulang (rewrite rule) yang salah dikonfigurasi memetakan permintaan
/open/*ke/api/*, yang secara tidak sengaja mengekspos endpoint admin yang dilindungi melalui jalur tanpa autentikasi. - CVE-2026-4047: Pemeriksaan autentikasi memperlakukan jalur secara case-sensitive (membedakan huruf besar/kecil, misalnya
/api/), sementara router mencocokkannya secara case-insensitive. Hal ini memungkinkan permintaan seperti/aPi/...untuk melewati autentikasi dan mencapai endpoint tersembunyi.
Peneliti Snyk menjelaskan bahwa akar penyebab di kedua celah ini adalah ketidakcocokan antara asumsi keamanan middleware dan perilaku framework. “Lapisan autentikasi berasumsi pola URL tertentu akan selalu ditangani dengan satu cara, sementara Express.js memperlakukannya secara berbeda.”
Penambang Kripto Berkedok ‘.fullgc’
Snyk melaporkan bahwa penyerang mulai menargetkan panel Qinglong yang terekspos publik untuk menyebarkan penambang kripto sejak 7 Februari.
Aktivitas ini pertama kali disadari oleh para pengguna Qinglong yang melaporkan adanya proses tersembunyi nakal bernama .fullgc yang menyedot daya CPU mereka hingga 85% – 100%. Nama tersebut sengaja dibuat meniru “Full GC”—sebuah proses normal yang memang memakan banyak sumber daya—untuk menghindari deteksi administrator.
Skema serangannya bekerja dengan cara berikut:
- Peretas mengeksploitasi kerentanan untuk memodifikasi file
config.shmilik Qinglong. - Mereka menyuntikkan perintah shell yang mengunduh penambang ke direktori
/ql/data/db/.fullgcdan mengeksekusinya di latar belakang. - Sumber daya jarak jauh yang berlokasi di domain
file.551911.xyzdiketahui menghosting beberapa varian binary ini, termasuk untuk sistem operasi Linux x86_64, ARM64, dan macOS.
Respons Pengelola dan Perbaikan
Serangan ini terus berlanjut dengan berbagai infeksi yang dikonfirmasi di beragam pengaturan, termasuk server yang berada di balik Nginx dan SSL. Sementara itu, pengelola Qinglong baru merespons situasi tersebut pada tanggal 1 Maret.
Meskipun pengelola mengakui adanya kerentanan tersebut dan mendesak pengguna untuk menginstal pembaruan terbaru, langkah mitigasi awal pada pull release (PR) #2924 hanya berfokus pada pemblokiran pola injeksi perintah. Snyk menilai langkah tersebut tidak cukup untuk menutup celah RCE secara menyeluruh.
Para peneliti melaporkan bahwa perbaikan yang benar-benar efektif akhirnya hadir pada PR #2941, yang secara langsung mengoreksi bypass autentikasi di tingkat middleware. Pengguna diimbau untuk segera memperbarui instans Qinglong mereka ke versi terbaru guna mencegah pembajakan sumber daya server.
