SchwachstellenMalwareHackerangriffe

Kryptominer-Attacken auf Qinglong-Scheduler: Authentifizierungslücken gefährden Entwickler-Server

Von CyberDeutsch Redaktion
Kryptominer-Attacken auf Qinglong-Scheduler: Authentifizierungslücken gefährden Entwickler-Server
Zusammenfassung

Entwickler und Serveradministratoren müssen sich einer neuen Sicherheitsbedrohung bewusst sein: Hacker nutzen zwei kritische Authentifizierungslücken in Qinglong aus, einem beliebten Open-Source-Task-Scheduler, um Kryptomining-Malware auf ungeschützten Systemen einzuschleusen. Qinglong ist besonders unter chinesischen Entwicklern verbreitet und wird auf GitHub über 19.000 Mal als Favorit markiert. Seit Anfang Februar, noch vor der öffentlichen Bekanntmachung der Schwachstellen, installieren Angreifer heimlich Kryptominer auf exposed Qinglong-Instanzen. Die Malware tarnt sich dabei als ein legitimer Prozess namens ".fullgc" und belastet die Server-CPU zu 85-100 Prozent. Nutzer in Deutschland und weltweit könnten betroffen sein, falls sie veraltete Versionen von Qinglong (2.20.1 und älter) ohne ausreichende Netzwerk-Isolation betreiben. Die Sicherheitslücken entstehen durch ein Missverhältnis zwischen der Autorisierungslogik und dem Routing-Verhalten des Express.js-Frameworks, das es Angreifern ermöglicht, Authentication-Mechanismen zu umgehen und Remote-Code-Execution zu erreichen. Für deutsche Unternehmen und Entwickler ist ein sofortiges Update auf die neueste Version entscheidend, um ihre Systeme vor dieser aktiven Bedrohung zu schützen.

Die beiden Sicherheitslücken betreffen Qinglong in den Versionen 2.20.1 und älter. Der gemeinsame Nenner beider Schwachstellen liegt in einem Mismatch zwischen der Middleware-Autorisierungslogik und dem Routing-Verhalten des Express.js-Frameworks. Die Sicherheitsschicht des Systems vertraute darauf, dass bestimmte URL-Muster immer auf eine bestimmte Weise behandelt würden, während Express.js diese unterschiedlich interpretierte – ein klassisches Sicherheitsproblem bei der Integration von Sicherheitskomponenten mit Web-Frameworks.

Erste Anzeichen der Attacken wurden von Qinglong-Nutzern bemerkt, die über einen verdächtigen Hintergrundprozess namens ‘.fullgc’ berichteten. Dieser Prozess nutzte zwischen 85 und 100 Prozent der CPU-Leistung. Der Name war bewusst gewählt: Er imitiert “Full GC” (Full Garbage Collection), einen legitimen, aber ressourcenintensiven Prozess, um der Erkennung zu entgehen.

Die Angreifer nutzten die Schwachstellen, um die config.sh-Konfigurationsdatei von Qinglong zu modifizieren und Shell-Befehle einzuschleusen. Diese luden einen Miner von der Domain ‘file.551911.xyz’ herunter und platzierten ihn im Verzeichnis ‘/ql/data/db/.fullgc’, wo er dann im Hintergrund ausgeführt wurde. Der gehostete Binary war in mehreren Varianten verfügbar – für Linux x86_64, ARM64 und macOS. Die Infektionen erfolgten auch auf Systemen hinter Nginx-Reverse-Proxies und SSL-Verschlüsselung.

Die Reaktion der Qinglong-Betreuer erfolgte erst am 1. März – knapp vier Wochen nach Beginn der Angriffe. Zunächst war der Lösungsansatz in Pull Request #2924 unzureichend: Die Patches konzentrierten sich nur auf die Blockierung von Command-Injection-Mustern, ohne die zugrundeliegende Authentifizierungslücke zu beheben. Die echte Lösung kam mit PR #2941, die schließlich den Authentifizierungs-Bypass in der Middleware korrigierte.

Für Betreiber von Qinglong-Installationen ist sofortige Handlung erforderlich. Alle Systeme sollten auf die aktuelle Version aktualisiert werden. Administratoren sollten ihre Server auf verdächtige Prozesse überprüfen und ihre Logs auf Anzeichen von Kompromittierung analysieren. Das BSI empfiehlt generell die kontinuierliche Überwachung von Open-Source-Komponenten und schnelle Patch-Management-Prozesse – ein Rat, der in diesem Fall besonders drängend ist.

Ähnliche Artikel