Langflowを悪用したエージェント型AIによるランサムウェア攻撃

脅威アクターがLangflowの脆弱性を悪用して組織のインスタンスに侵入し、エージェント型ランサムウェア攻撃に悪用していたことが、クラウドセキュリティ企業Sysdigの報告で明らかになりました。

Langflowは、LLM駆動のアプリケーションやエージェントワークフローの構築に使われる、PythonベースでLLMに依存しないオープンソースフレームワークです。

今回の攻撃では、JadePufferとして追跡されている脅威アクターが、4月に公表された重大な認証欠如の脆弱性であるCVE-2025-3248(CVSSスコア9.8)を悪用し、インターネットに公開されたLangflowインスタンスへのアクセスを獲得しました。詳細はSysdigのブログで報告されています。

この脆弱性を悪用されると、攻撃者はLangflowが稼働しているホスト上で任意のPythonコードを実行できるようになります。CISAは5月上旬、この脆弱性が実際に悪用されていると警告していました。

コード実行権限を獲得した後、JadePufferはLLMを偵察に利用し、APIキー、クラウド認証情報、暗号資産ウォレット、設定ファイル、データベース認証情報などのシークレット情報をシステム全体からくまなく探索しました。

続いて、脅威アクターはLangflowのPostgresデータベースをダンプしてシークレット情報を収集し、到達可能な内部アドレス空間や稼働中のサービスをスキャンして、さらなる認証情報の窃取のためMinIOアドレスを探索。さらに、Langflowサーバーへの永続的なアクセスを確保するためcronジョブを仕掛けました。

この初期フェーズを通して、LLMはタスクを完遂するためにリアルタイムで行動を調整し、さまざまな種類のファイルから認証情報を抽出し、発見したエンドポイントへログインしていく様子が観測されています。

攻撃の第2フェーズでは、JadePufferはLLMを利用して、MySQLデータベースとAlibaba Naming and Configuration Service(Nacos)の構成プラットフォームをホストする本番サーバーへ侵入範囲を広げました。

Alibabaのマイクロサービスアーキテクチャで広く使われているNacosは、これまでにも複数のセキュリティバイパスの問題に悩まされており、よく知られたデフォルトのJWT署名鍵を使用しているため、トークンの偽造が容易であるという弱点を抱えています。

横方向への侵害拡大と暗号化

JadePufferは、MySQLポート用のrootクレデンシャルを含むペイロードを使ってこのサーバーに接続し、複数のベクトルを通じてLLMを悪用しNacosサービスを標的にしました。

Sysdigは次のように説明しています。「これには、認証バイパス系の脆弱性(CVE-2021-29441)の悪用、Nacosのよく知られたデフォルト署名鍵を使った有効なJWTの偽造、そしてroot権限のデータベースアクセスを利用してNacosのバックエンドデータベースに直接バックドア管理者アカウントを注入する手口が含まれています」

攻撃の過程で、LLMはログイン検証を通過するようペイロードを調整し、OSコマンド実行につながりうるUser Defined Functions(UDF)の有無を確認したうえで、ランサムウェアの展開前に完了マーカーを発行しました。

続いて、Nacosサービスの設定項目1,342件を暗号化し、身代金要求額、支払い先アドレス、連絡用メールアドレスを記載した恐喝用テーブルを作成しました。暗号化キーはランダムに生成されたものの、保存も送信もされておらず、これによりデータ復旧は事実上不可能になっています。

Sysdigは次のように指摘しています。「収集したペイロードからは、LLMが行レベルの削除から、データベーススキーマ全体の削除へとエスカレートしていく様子や、自らの標的選定の理由をみずから説明していく様子が確認できました」

同社が分析したペイロードには、各アクションに関する自然言語での注釈が含まれており、これはLLMによって生成されたコードであることを示しています。さらに、失敗に対処し正確な診断を行うためにLLMが自らの行動を修正していく様子も確認されました。

Sysdigは次のように述べています。「攻撃活動の過程で、LLMは標的側が提示した自由記述形式のテキストを解析し、そのテキストを単にスキャナーがパターンマッチングしたのではなく、読んで理解したのでなければ意味をなさないような行動を取りました。この挙動は、数週間の間隔を空けた複数のセッションにわたって繰り返し確認されています」

同社によれば、今回の攻撃はLLMエージェントによって悪意ある活動のハードルが大幅に下がっていることを示しており、もはや有能な人間ではなく有能なモデルさえあれば攻撃が成立してしまう状況にあるといいます。今回のAIは、既知の手法を組み合わせ、対策の行き届いていないインフラに対する攻撃を、攻撃者側にほぼコストをかけることなく成功させました。

Sysdigは次のように述べています。「エージェント型ツールの成熟に伴い、こうしたキャンペーンの規模と広がりは今後も増加していくと見るべきです。防御側は、インターネットに公開されたアプリケーションサーバー、堅牢化されていない構成ストア、インターネットに面したデータベース管理者アカウントを、真っ先に攻撃対象となりうる領域として扱う必要があります」

詳細はAI Risk Summit(Ritz-Carlton, Half Moon Bay)で

Image

翻訳元: https://www.securityweek.com/agentic-ai-used-to-conduct-ransomware-attack-via-langflow/

ソース: securityweek.com