Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Langflow RCE Exploited to Deploy Monero Miner on Exposed AI App Endpoints

1 minute de lecture

Mis à jour :

Exploitation de Langflow pour le minage illicite de Monero

Des attaquants exploitent activement une vulnérabilité critique dans Langflow pour prendre le contrôle de serveurs et déployer des mineurs de cryptomonnaie Monero. Cette campagne utilise des instances d’applications IA exposées sur Internet comme point d’entrée pour infiltrer les réseaux d’entreprise.

Points clés :

  • Vecteur d’attaque : Utilisation d’une ligne de code Python via un point de terminaison API non authentifié pour télécharger et exécuter un script malveillant.
  • Comportement du malware : Le binaire (nommé « lambsys ») désactive les outils de sécurité (AppArmor, SELinux, pare-feu), supprime les traces d’autres groupes de cryptojacking, établit une persistance via des tâches cron et utilise des clés SSH réutilisées pour se propager latéralement.
  • Techniques d’évasion : Suppression des journaux système, manipulation des attributs de fichiers immuables et utilisation de sous-processus shell courts pour accroître la fiabilité du malware au détriment de sa discrétion.
  • Géolocalisation : Le malware interroge des services tiers pour identifier l’emplacement de la victime, optimisant ainsi le rendement du minage ou appliquant des stratégies de géofencing.

Vulnérabilité exploitée :

  • CVE-2026-33017 : Vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, avec un score CVSS de 9.3.

Recommandations :

  • Isolation réseau : Ne jamais exposer directement les instances Langflow ou les API d’applications IA sur l’Internet public ; utilisez des VPN ou des accès restreints.
  • Gestion des accès : Auditer et révoquer les clés SSH obsolètes ou partagées entre systèmes.
  • Durcissement système : Maintenir les correctifs à jour et surveiller les modifications anormales sur les fichiers système critiques (ex: /etc/crontab, authorized_keys).
  • Surveillance : Détecter les processus suspects liés au minage de cryptomonnaie et surveiller les appels système inhabituels émanant des services d’application IA.

Source

Vous pourriez aimer