Злоумышленники воспользовались критической уязвимостью RCE в Langflow в течение нескольких часов после ее обнаружения, что побудило Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально внести ее в список для срочного устранения.
Эта уязвимость, позволяющая выполнять произвольный код в уязвимых экземплярах Langflow без учетных данных, была использована в течение 20 часов после того, как инструмент с открытым исходным кодом для создания конвейеров ИИ раскрыл ее.
Согласно отчету Sysdig, мошенники начали атаковать парк узлов-ловушек с уязвимыми экземплярами в различных облачных провайдерах и регионах сразу после их запуска. Sysdig зафиксировал четыре такие попытки в течение нескольких часов после развертывания, причем один злоумышленник смог выполнить эксфильтрацию переменных окружения.
«Это примечательно, поскольку на момент первой атаки в репозитории GitHub не существовало публичного PoC», — заявили исследователи Sysdig. «Само уведомление содержало достаточно подробностей (уязвимый путь конечной точки и механизм внедрения кода через определения узлов потока) для злоумышленников, чтобы создать рабочий эксплойт без дополнительных исследований».
CISA добавило эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), настоятельно призывая федеральные агентства установить исправления в своих системах до 8 апреля 2026 года.
Настройки по умолчанию позволяют внедрять код
Уязвимость, отслеживаемая как CVE-2026-33017, связана с открытой конечной точкой API в Langflow — визуальном фреймворке с открытым исходным кодом для создания агентов ИИ и конвейеров генерации с дополненным поиском (RAG).
Эта открытость позволяет злоумышленникам отправлять вредоносные данные рабочего процесса, содержащие внедренный код Python. Вместо использования доверенных данных приложение выполняет этот предоставленный злоумышленником код без какой-либо изоляции (sandboxing), что приводит к удаленному выполнению кода без аутентификации в затронутых системах, согласно описанию NVD.
«Конечная точка build_public_tmp спроектирована как не требующая аутентификации (для публичных потоков), но некорректно принимает данные потока, предоставленные злоумышленником и содержащие произвольный исполняемый код», — добавлено в описании. «Это отличается от CVE-2025-3248, где проблема с /api/v1/validate/code была устранена путем добавления аутентификации».
Уязвимость внедрения кода затрагивает версии Langflow до 1.8.2 (не включая ее) и исправлена в v1.9.0. Она получила критическую оценку CVSS 9.3 из 10 благодаря своей «неаутентифицированной» и простой эксплуатируемости, обширной поверхности атаки ИИ и высокому влиянию.
Скорость эксплуатации вызывает опасения
Активность эксплуатации была зафиксирована менее чем через сутки после того, как уязвимость стала публичной, что, по мнению Sysdig, демонстрирует быструю операционализацию новых уязвимостей злоумышленниками (вероятно, с помощью автоматизации).
Злоумышленники смогли создать рабочий эксплойт, основываясь только на описании в уведомлении, и быстро начать сканирование на предмет уязвимых экземпляров. «Эксфильтрованная информация включала ключи и учетные данные, которые обеспечили доступ к подключенным базам данных и потенциальное компрометирование цепочки поставок программного обеспечения», — заявили исследователи Sysdig.
Поскольку окна для установки исправлений значительно сокращаются, обнаружение в реальном времени (runtime detection) остается основным и единственным вариантом, отметили в Sysdig. «Каждый злоумышленник в этой кампании следовал одному и тому же сценарию после компрометации: выполнить команду оболочки через os.popen() в Python, а затем эксфильтровать вывод через HTTP», — говорится в сообщении, с добавлением, что правила обнаружения в реальном времени могут зафиксировать эти попытки.
Исследователи объяснили, как обнаружение в реальном времени может помочь: оно работает в «нулевой день». «Эти правила не требуют сигнатуры именно для CVE-2026-33017, поскольку они обнаруживают поведение эксплуатации, а не саму уязвимость. Те же правила сработали бы независимо от того, пришел ли первоначальный доступ через CVE-2026-33017, CVE-2025-3248 или любую другую RCE в приложении».
Sysdig также предоставила список индикаторов компрометации (IOC), включая исходные IP-адреса злоумышленников, обнаруженную инфраструктуру C2 и промежуточную, URL-адреса дропперов и домены обратного вызова interactsh. Компания рекомендует немедленно обновиться до исправленных версий, ограничить доступ и отслеживать аномальную активность, подчеркивая, что открытые экземпляры следует рассматривать как потенциально скомпрометированные.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
