出典: BeeBright via Shutterstock
攻撃者は、AIエージェントAIエージェントとワークフローを構築するための人気のあるPythonベースのWebアプリの重大な欠陥を積極的に狙っており、システム全体の侵害を引き起こす強力なボットネットを解き放ち、分散型サービス拒否(DDoS)攻撃、および影響を受けたサーバーにホストされている機密情報の損失や漏洩の可能性を引き起こします。
敵対者は、オープンソースのLangflowプラットフォームにおけるCVSSスコア9.8の脆弱性であるCVE-2025-3248を悪用し、侵害されたサーバーでダウンローダースクリプトを実行してFlodrixマルウェアを取得およびインストールしています。これは、Trend Microの研究者が今日発表したブログ投稿で報告されています。
Langflowのバージョン1.3.0以前は、ユーザーがAI駆動のエージェントとワークフローを構築できるエージェントAIの領域で広く採用されているツールであり、この欠陥に対して脆弱です。CVE-2025-3248は、プラットフォームのコード検証メカニズムに存在する認証欠如の問題であり、任意のコード実行を許可し、リモート攻撃者がLangflowサーバーを完全に乗っ取ることを可能にします。
“認証されていない攻撃者は、/api/v1/validate/codeエンドポイントに悪意のあるPOSTリクエストを作成することでこの脆弱性を悪用できます”と、Trend Microの脅威研究者は投稿で書いています。
脆弱なシステムは「魅力的なターゲット」
Trend Microの研究は、先月米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によるこの欠陥についての勧告に続くもので、同庁の既知の悪用された脆弱性(KEV)カタログに追加されました。
関連記事:WestJet航空アプリ、ウェブサイトがサイバーインシデント後に被害を受ける
Langflowは70,000以上のGitHubスターを持ち、これはプラットフォーム上のツールに対する開発者の評価を示しています。プラットフォームの人気と知的自動化のプロトタイピングおよび展開における役割を考慮すると、脆弱なLangflowサーバーは攻撃者にとって「魅力的なターゲット」であると研究者は指摘しています。
“パブリックネットワーク上でLangflowバージョン1.3.0以前を使用している組織は、現実世界でこの脆弱性が積極的に悪用されているため、重大なリスクにさらされています”と研究者は警告しています。
成功する実行のために設計された
脅威キャンペーンは、攻撃者がまず公開されているLangflowサーバーのアドレスとポートをリストアップすることから始まります。これにはShodanやFOFAのようなツールが使用される可能性があります。その後、攻撃者はオープンソースの概念実証(PoC)エクスプロイトを使用して、脆弱なシステムでリモートシェルアクセスを取得し、感染したシステムでさまざまな偵察bashコマンドを実行し、結果をコマンドアンドコントロール(C2)サーバーに送信します。
“これらのステップに基づいて、攻撃者はすべての脆弱なサーバーをプロファイリングし、収集したデータを使用して将来の感染のための高価値ターゲットを特定している可能性があります”と研究者は観察しました。
関連記事:ワシントンポストのスタッフのメールがサイバー侵害で標的に
CVE-2025-3248をうまく悪用すると、脅威アクターは「docker」と名付けられたbashシェルスクリプトを展開し、複数のシステムアーキテクチャをターゲットにしたFlodrixボットネットのELFバイナリをダウンロードして実行します。このボットネットは、さまざまなDDoS攻撃を開始するためにTCP経由でコマンドを受信できます。
調査中、研究者はトロイの木馬ダウンローダースクリプトが無効な引数で最終ペイロードを実行し、その結果、マルウェアが実行後に終了し自らを削除することを観察しました。
“この動作は、ターゲットシステムのアーキテクチャでどのペイロードが正常に実行され、C2サーバーとの通信を開始できるかを判断するために設計されています”と研究者は指摘しました。さらに、悪意のあるペイロードがPython関数定義の引数デフォルトやデコレータ内に埋め込まれていることが判明しました。
“Langflowは入力検証やサンドボックスを強制しないため、これらのペイロードはサーバーのコンテキスト内でコンパイルされ実行され、RCEにつながります”と研究者は述べました。
攻撃で使用された悪意のあるペイロードは、LeetHozerマルウェアファミリーのバリアントであり、さまざまなステルス技術を使用して分析を困難にしていました。これらの技術には、フォレンジックの痕跡を最小限に抑え、検出を妨げるための自己削除とアーティファクトの除去、C2サーバーアドレスやその他の重要な指標を隠すための文字列難読化が含まれていました。
関連記事:セキュリティは最も弱いサードパーティのリンクと同じ強さしかない
緩和のための推奨事項
CVE-2025-3248のパッチが利用可能であり、Trend Microはプラットフォームを運用している組織に対して、Langflowバージョン1.3.0以降にアップグレードして攻撃を緩和するよう促しています。このアップデートは、/api/v1/validate/codeエンドポイントの認証脆弱性を解決し、新しいパラメータ_current_user: CurrentActiveUser をpost_validate_code関数に追加することで認証要件を実装します。
“このパラメータは認証依存として機能し、アクセスを許可する前にユーザーの身元とセッションの有効性を確認します”と研究者は書いています。この欠陥はこの認証を成功裏に提供せず、攻撃者がそれをバイパスして任意のコマンドを実行できるようにしていました。
パッチ適用に加えて、Langflowを使用している組織は、プラットフォームのエンドポイントへの公開アクセスを制限し、ブログ投稿で提供されているFlodrixボットネットに関連する侵害の指標(IoC)を監視する必要もあります。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/hackers-exploit-langflow-flaw-flodrix-botnet