Lỗ hổng CVE Qinglong nguy hiểm bị khai thác thực tế

30/04/2026
3 mins read
Lỗ hổng CVE Qinglong nguy hiểm bị khai thác thực tế
Nội dung
Lỗ hổng CVE trong Qinglong task scheduler bị khai thác thực tế
Cách thức khai thác và tác động hệ thống
Phân tích hai lỗ hổng CVE-2026-3965 và CVE-2026-4047
CVE-2026-3965
CVE-2026-4047
IOC và dấu hiệu nhận diện
Chi tiết khai thác và nguyên nhân gốc
Khuyến nghị xử lý và cập nhật bản vá
Chuỗi hành động cần kiểm tra trên hệ thống
Liên kết tham chiếu kỹ thuật

Lỗ hổng CVE trong Qinglong task scheduler bị khai thác thực tế

Lỗ hổng CVE trong Qinglong task scheduler đã bị khai thác trong các đợt tấn công mạng nhắm vào các bảng điều khiển truy cập công khai. Theo các báo cáo từ Snyk, kẻ tấn công không cần xác thực đã vượt qua cơ chế bảo vệ, thực hiện remote code execution và cài đặt một cryptominer ẩn, tiết kiệm tài nguyên có tên .fullgc.

Qinglong là một dashboard tự triển khai dùng để lập lịch tác vụ, hỗ trợ nhiều ngôn ngữ scripting như Python 3JavaScript. Nền tảng này thường được triển khai trên VPS cloud và mạng gia đình, phổ biến dưới dạng Docker container.

Trong bối cảnh tin bảo mật mới nhất, các dấu hiệu bất thường bắt đầu được quản trị viên ghi nhận vào khoảng ngày 07/02/2026, khi CPU tăng đột biến và đẩy tài nguyên máy chủ lên mức 100%.

Cách thức khai thác và tác động hệ thống

Kẻ tấn công khai thác các lỗi chưa được vá để sửa đổi script cấu hình của Qinglong, âm thầm tải xuống cryptominer .fullgc. Tên file này được ngụy trang như một tiến trình Java garbage collection nhằm trì hoãn quá trình điều tra của quản trị viên.

Hành vi này dẫn đến tình trạng máy chủ bị chiếm dụng tài nguyên liên tục, ảnh hưởng trực tiếp đến hiệu năng hệ thống. Trong môi trường an ninh mạng, đây là dấu hiệu điển hình của một mối đe dọa mạng kết hợp giữa lỗ hổng CVE và triển khai dịch vụ quản trị lộ ra Internet.

Phân tích hai lỗ hổng CVE-2026-3965 và CVE-2026-4047

Các cuộc khai thác liên quan đến hai lỗ hổng CVE nghiêm trọng trong các phiên bản Qinglong 2.20.1 và cũ hơn. Theo phân tích từ Snyk, cả hai lỗi đều xuất phát từ sự không khớp giữa giả định của security middleware và hành vi định tuyến của Express.js.

CVE-2026-3965

CVE-2026-3965 xuất phát từ một rule rewrite URL khiến các yêu cầu tới /open/* bị ánh xạ sai sang các endpoint bảo vệ /api/*. Lỗi này cho phép kẻ tấn công gửi một request không xác thực để reset và tái khởi tạo thông tin đăng nhập quản trị.

Đây là dạng authentication bypass điển hình trong nhóm cảnh báo CVE, vì chỉ cần một request duy nhất để vượt qua kiểm soát truy cập.

CVE-2026-4047

CVE-2026-4047 khai thác cơ chế xử lý URL không phân biệt chữ hoa/chữ thường. Bằng cách thay đổi cách viết request, ví dụ /aPi/, kẻ tấn công có thể vượt qua lớp bảo vệ trên /api/.

Snyk ghi nhận lỗi này có thể dẫn đến remote code execution trực tiếp mà không cần reset credential, làm tăng mức độ rủi ro an toàn thông tin đối với các hệ thống triển khai công khai.

IOC và dấu hiệu nhận diện

Trong các sự cố được mô tả, IOC có thể được trích xuất như sau:

  • .fullgc — file cryptominer bị ẩn danh dưới dạng tiến trình thu gom rác của Java.
  • CPU tăng đột biến lên 100% — dấu hiệu bất thường về tài nguyên máy chủ.
  • Request không xác thực tới các endpoint quản trị liên quan đến /open/*/api/*.
  • URL casing bất thường như /aPi/ để né cơ chế kiểm soát truy cập.

Chi tiết khai thác và nguyên nhân gốc

Các nhà nghiên cứu cho biết lỗ hổng bắt nguồn từ cách middleware bảo mật giả định hành vi định tuyến, trong khi Express.js xử lý route theo logic khác. Sự lệch pha này tạo ra bề mặt xâm nhập mạng cho các yêu cầu được thiết kế đặc biệt.

Trong trường hợp Qinglong, nỗ lực cộng đồng ban đầu tập trung vào việc lọc các input độc hại, nhưng không giải quyết được gốc rễ là lỗi access control. Phần sửa cuối cùng được thực hiện bằng cách điều chỉnh trực tiếp logic xác thực trong middleware.

Khuyến nghị xử lý và cập nhật bản vá

Để giảm nguy cơ bảo mật, quản trị viên cần cập nhật bản vá ngay cho các container Qinglong đang chạy phiên bản 2.20.1 hoặc cũ hơn. Đồng thời, cần kiểm tra hệ thống để phát hiện file ẩn .fullgc và đánh giá lại các endpoint quản trị đang công khai.

Các bảng điều khiển self-hosted nên được đặt sau VPN hoặc cơ chế truy cập an toàn tương đương. Việc triển khai trực tiếp trên Internet làm tăng khả năng bị khai thác các lỗ hổng CVE kiểu authentication bypass và remote code execution.

Tham khảo thêm thông tin kỹ thuật tại NVD và bài phân tích của Snyk về các lỗ hổng CVE trong Qinglong.

Chuỗi hành động cần kiểm tra trên hệ thống

# Kiểm tra phiên bản container Qinglong

docker ps

docker inspect <container_name> | grep -i image

# Tìm file .fullgc trên máy chủ hoặc trong volume container
find / -name ".fullgc" 2>/dev/null

# Kiểm tra tải CPU và tiến trình bất thường
top
ps aux --sort=-%cpu | head

# Xem log truy cập liên quan đến /open/ và /api/
grep -R "\/open\/\|\/api\/" /var/log 2>/dev/null

Liên kết tham chiếu kỹ thuật

Snyk vulnerability analysis: Qinglong task scheduler RCE vulnerabilities