Yaygın olarak benimsenen Python tabanlı AI prototipleme çerçevesi olan Langflow’daki kritik bir güvenlik kusuru, hızla gelişen flodrix botnet’i dağıtmak için siber suçlular tarafından aktif olarak sömürülüyor.
Güvenlik araştırmacıları, saldırganların CVSS ölçeğinde 9.8 olarak derecelendirilmiş bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2025-3248’den yararlandığını ve bunları, bozulmamış Langflow sunucularını uzatmak ve bunları yıkıcı diski (dDOS) saldırılarını başlatabilen güçlü bir Botnet’e dahil etmek için kullandığını ve açıklayıcı dinginli dispirative verileri başlatabilmeleri ve açıklayıcı veri verileri sunduğunu doğruladılar.
Güvenlik Açığı: CVE-2025-3248
70.000’den fazla GitHub yıldızı ile Langflow, akıllı otomasyon sistemleri oluşturmak ve dağıtmak için popülerdir. 1.3.0 önceki sürümler/API/V1/Validate/Kod Uç Noktasında kritik bir kusur içerir.
.png
)
Kullanıcı tarafından gönderilen Python kodunu doğrulamak için tasarlanmış bu uç nokta, kimlik doğrulama ve giriş doğrulamasını zorunlu kılamaz. Sonuç olarak, kimliği doğrulanmamış saldırganlar, işlev dekoratörlerine veya varsayılan bağımsız değişkenlere zararlı kod yerleştiren kötü niyetli posta talepleri oluşturabilirler.
İşlendiğinde, bu yükler sunucunun bağlamında yürütülür ve saldırganlara uzaktan kod yürütme özellikleri verir.
Güvenlik açığı, 5 Mayıs 2025’te ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) Bilinen Sömürü Güvenlik Açıkları Kataloğuna eklendi ve aktif sömürüsünün ve şiddetini vurguladı.
Tehdit aktörleri, Shodan ve FOFA gibi araçları kullanarak halka açık, savunmasız langflow örnekleri için interneti tarayarak başlar.
Herkese açık bir kavram kanıtı kullanarak, uzaktan kabuk erişimi elde ederler, sistem bilgilerini toplamak için keşif komutlarını yürütürler ve daha sonra flodrix kötü amaçlı yazılımları almak ve yüklemek için tipik olarak “Docker” olarak adlandırılan bir indirici komut dosyası dağıtırlar.
Kurulduktan sonra Flodrix, hem TCP hem de TOR ağı üzerindeki komut ve kontrol (C&C) altyapısı ile iletişim kurar.
Kötü amaçlı yazılım son derece kaçınılmazdır: spesifik parametreler karşılanmadıkça, adli eserleri kaldırmadıkça ve C&C adreslerini gizlemek için XOR tabanlı dize obfusation kullanmadıkça yürütüldükten sonra kendi kendine aşınır.
Flodrix ayrıca aynı ana bilgisayarın yeniden yapılandırılmasını önlemek için gizli dosyaları kontrol eder ve algılamadan kaçınmak için çocuk süreçlerini sahte isimlerle çatallar.
Flodrix, Leethozer kötü amaçlı yazılım ailesinin sofistike bir torunudur, ancak gelişmiş gizli ve saldırı özelliklerine sahiptir. Bu olabilir:
- Birden fazla DDOS saldırısı türü başlatın (örn. TCPRAW, UDPPLAIN, Handshake, TCPlegit, TS3, UDP)
- Ağ Arabirimleri için Kapsamlı Keşif, Çevre Değişkenlerini Döküm ve Tarama Yapın
- Şüpheli işlemleri, özellikle de /TMP veya adlandırılmış WatchDog, MuslyBox veya Systemd’den çalışanlar
- Süreçleri sona erdirdiğinde C & C’ye yapılandırılmış “KillDetail” bildirimlerini gönderin, saldırgan izlemeye yardımcı olur
- Şifreli yapılandırmalar kullanın ve yeni, şaşkın DDOS saldırısı türleri 13.
Araştırmacılar, kampanyanın devam ettiği konusunda uyarıyorlar, saldırganlar aktif olarak yeni indirici senaryoları geliştiriyor ve Flodrix’in yeteneklerini genişletiyor.
1.3.0’dan önceki Langflow sürümlerini kullanan kuruluşlar, özellikle konuşlandırmalarına genel ağlardan erişilebilirse, kritik risk altındadır.
Azaltma adımları şunları içerir:
- Langflow’u hemen 1.3.0 veya üstüne yükseltme, savunmasız uç noktaya katı kimlik doğrulama getiren
- Langflow uç noktalarına halkın erişimini kısıtlamak
- Flodrix botnet ile bağlantılı uzlaşma göstergelerinin izlenmesi
Güvenlik satıcıları, sömürü denemelerini engellemek için algılama kurallarını güncelledi, ancak BotNet yeni kurbanları geliştirmeye ve hedeflemeye devam ettikçe hızlı yama gerekli olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin