TokyoBlackHatNews

csoonline.com 4分で読了

CISAが警告を発する中、批判的なLangflow RCEが数時間以内に悪用される

攻撃者は批判的なRCEを数時間以内に兵器化し、CISAはこの欠陥をKEVカタログに追加し、緊急パッチの期限を設定するよう促した。

攻撃者は公開からわずか数時間以内に批判的なLangflow RCEを悪用し、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)に緊急対応を公式に促した。

認証情報なしで脆弱なLangflowインスタンス上で任意のコードを実行可能なこの欠陥は、オープンソースAIパイプラインツールが公開してから20時間以内に兵器化されました

Sysdigのレポートによると、詐欺師はデプロイ直後に、複数のクラウドプロバイダーとリージョン全体の脆弱なインスタンスを持つハニーポットノードのフロートに対する攻撃を開始しました。Sysdigはデプロイから数時間以内に4つのそのような試みを観測し、1人の攻撃者は環境変数の流出に進みました。

「最初の攻撃の時点でGitHub上に公開されたPOCリポジトリが存在しなかったため、これは注目に値します」とSysdigの研究者は述べました。「アドバイザリ自体は、攻撃者が追加の調査なしで動作するエクスプロイトを構築するのに十分な詳細(脆弱なエンドポイントパスとフローノード定義を介したコード注入のメカニズム)を含んでいました。」

CISAはこの欠陥を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に2026年4月8日までにシステムにパッチを当てるよう促しています。

デフォルト設定がコード注入を許可する

CVE-2026-33017として追跡されている脆弱性は、AIエージェントとRetrieval-Augmented Generation(RAG)パイプラインを構築するためのオープンソースビジュアルフレームワークであるLangflowの露出したAPIエンドポイントに起因しています。

この露出により、攻撃者は組み込まれたPythonコードを含む悪意のあるワークフローデータを送信できます。信頼できるデータを使用する代わりに、アプリケーションはこの攻撃者が提供したコードをサンドボックスなしで実行し、影響を受けるシステム上で認証されていないリモートコード実行につながります。NVDの説明によります。

「build_public_tmpエンドポイントは認証されない(公開フローの場合)ように設計されていますが、任意の実行可能コードを含む攻撃者が提供したフローデータを誤って受け入れます」と説明は述べています。「これは認証を追加することで/api/v1/validate/codeを修正したCVE-2025-3248とは異なります。」

コード注入の欠陥はLangflowバージョン1.8.2(除外)までに影響を及ぼし、v1.9.0で修正されています。「認証されない」および単純な悪用可能性、大規模なAI攻撃表面、および高い影響のため、10点中9.3の批判的なCVSS評価を受けました。

エクスプロイトのペースは懸念を提起する

脆弱性が公開されてから1日以内に悪用活動が観測されました。これはSysdigが指摘したように、脅威行為者が新しい脆弱性を迅速に運用化している(おそらく自動化を通じて)ことを実証しています。

攻撃者はアドバイザリの説明だけから動作するエクスプロイトを構築し、すぐに欠陥のあるインスタンスのスキャンを開始できました。「流出した情報には、接続されたデータベースへのアクセスとソフトウェアサプライチェーンの侵害の可能性を提供したキーと認証情報が含まれていた」とSysdigの研究者は述べました。

パッチウィンドウが大幅に閉じられている中、ランタイム検出は主要で唯一のオプションのままですとSysdigは述べています。「このキャンペーンのすべての攻撃者は同じ悪用後のプレイブックに従いました:Pythonのos.popen()を介してシェルコマンドを実行し、HTTP経由で出力を流出させます」と述べ、ランタイムルールはこれらの試みを検出できることを追加しました。

ランタイム検出が役に立つ方法は「ゼロデー」で機能することですと研究者は説明しました。「これらのルールはCVE-2026-33017に対して特に署名を必要としません。脆弱性ではなく悪用の行動を検出しているためです。初期アクセスがCVE-2026-33017CVE-2025-3248、またはアプリケーション内の他のRCEを通じて来たかどうかに関わらず、同じルールが実行されます。」

Sysdigは、攻撃者のソースIP、検出されたC2とステージングインフラストラクチャ、Dropper URL、およびinteractshコールバックドメインを含む侵害指標(IOC)のリストも共有しました。すぐにパッチ適用されたバージョンにアップグレードし、露出を制限し、異常なアクティビティを監視することを推奨し、露出したインスタンスは潜在的に侵害されたものとして扱われるべきであることを強調しています。

翻訳元: https://www.csoonline.com/article/4151203/attackers-exploit-critical-langflow-rce-within-hours-as-cisa-sounds-alarm.html

ソース: csoonline.com
#AI セキュリティ #CISA #CVE-2026-33017 #Langflow #RCE脆弱性 #ゼロデイ悪用 #ランタイム検出 #リモートコード実行 #脆弱性パッチ #認証なし脆弱性

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活