Bilgisayar korsanları, Flodrix Botnet’i dağıtmak ve sistem kontrolünü ele geçirmek için kritik langflow kusurundan yararlanıyor

Yıkıcı Flodrix Botnet’i dağıtmak için AI uygulamaları oluşturmak için yaygın olarak kullanılan bir Python tabanlı çerçeve olan Langflow’da kritik bir güvenlik açığından yararlanan sofistike bir siber saldırı kampanyası ortaya çıktı.

CVE-2025-3248 olarak tanımlanan ve mükemmel bir CVSS skoru 9.8 taşıyan bu kime doğrulanmamış uzaktan kod yürütme (RCE) kusuru, 1.3.0’dan önceki langflow sürümlerini etkiler.

Langflow’da ciddi bir RCE güvenlik açığının ortaya çıkması

Güvenlik açığı, uygun giriş validasyonu ve kum havuzundan yoksun olan/api/v1/validate/kod uç noktasında yer alır ve saldırganların hazırlanmış bir sonrası istek yoluyla minimum çaba ile keyfi Python kodunu yürütmesini sağlar.

Rapora göre, bu sömürü kolaylığı, trend micro’daki siber güvenlik uzmanları tarafından bildirildiği gibi, küresel olarak 1.600’den fazla internete maruz kalan langflow örnekleri ile hızlı silahlanmaya yol açtı.

Kusurun ciddiyeti ve Langflow’un 70.000’den fazla GitHub yıldızı tarafından kanıtlandığı popülaritesi, sistemleri tehlikeye atmaya ve hizmetleri bozmaya çalışan kötü niyetli aktörler için birincil bir hedef haline getiriyor.

Saldırı zinciri, kamu ağlarında maruz kalan savunmasız langflow sunucularını tanımlamak için Shodan ve Fofa gibi keşif araçlarını kullanan saldırganlarla başlar.

GitHub’da barındırılan halka açık kavram kanıtı (POC) istismarlarından yararlanan bu siber suçlular, uzaktan kabuk erişimi kazanarak, whoami Ve ip addr show Sistem zekası toplamak için.

Bu bilgiler, bir komut ve kontrol (C&C) sunucusuna aktarılır, bundan sonra genellikle “Docker” olarak gizlenmiş kötü amaçlı bir indirici komut dosyası, Flodrix Botnet yükünü TCP veya TOR ağı üzerinden alır ve yükler.

Yıkıcı yeteneklere sahip gizli bir tehdit

Leethozer kötü amaçlı yazılım ailesinin bir evrimi olan Flodrix, dağıtılmış hizmet reddi (DDOS) saldırıları için tasarlanmıştır, tcpraw Ve udpplain.

Spesifik parametreler karşılanmadıkça kendi kendini aşınma, C&C adreslerini gizlemek için XOR tabanlı dize gizleme ve aldatıcı çocuk işlemi adlandırma dahil olmak üzere ileri kaçaklama taktikleri onu zorlu bir düşman haline getirir.

Ek olarak, Flodrix, gizli dosyaları kontrol ederek yeniden enfeksiyondan kaçınır. .system_idle ve adli izleri silerek tespit ve hafifletme için önemli zorluklar ortaya koyar.

Kötü amaçlı yazılımların DDOS saldırıları ve potansiyel veri yayılması için ikili yeteneği, akıllı otomasyon için Langflow’a dayanan kuruluşlar için hizmet kesintisi ve hassas bilgi hırsızlığı riskini artırır.

Bu tehdide karşı koymak için acil eylem zorunludur. Kuruluşlar, kimlik doğrulamasını bir yolla içeren Langflow sürüm 1.3.0 veya üstüne yükseltmelidir. _current_user: CurrentActiveUser Korunmasız uç noktayı güvence altına almak için parametre.

Diğer koruyucu önlemler, Langflow arayüzlerine halkın erişimini kısıtlamak ve anormal ağ trafiği veya beklenmedik gizli dosyalar gibi uzlaşma göstergelerinin dikkatle izlenmesini içerir.

Bu kampanya, açık kaynaklı çerçevelerden yararlanan gelişen botnet tehditleri karşısında zamanında yamalama ve sağlam ağ güvenliği ihtiyacını vurgulamaktadır.

Uzlaşma Göstergeleri (IOCS)

Polyswarm ile tanımlanan flodrix örnekleri ile ilişkili karmalar aşağıdadır:

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin