Giriş
Langflow’daki kritik bir açık, siber suçluların Monero kripto para madencisi dağıtma amacına yönelik yeni saldırılar gerçekleştirmesine olanak tanımaktadır. Bu durum, yapay zeka uygulama uç noktalarının daha önce görülmemiş bir tehdit haline geldiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Saldırılar, CVE-2026-33017 kodlu, kimlik doğrulaması gerektirmeyen uzaktan kod yürütme (RCE) açığını kullanarak gerçekleştirilmektedir. Bu açık, Langflow platformu üzerinde tespit edilmiş olup, CVSS puanı 9.3 olarak değerlendirilmiştir. Araştırmalar, bu süreçte bir satırlık Python kodunun, kimlik doğrulaması gerektirmeyen bir Langflow API uç noktasında çalışarak, bir kabuk betiği indirdiğini ve madenci ikili dosyasını ayrık bir şekilde başlattığını ortaya koymaktadır.
Malware, rakip kripto madenci süreçlerini sonlandırma, cüzdan ve anahtar materyalini silme, barındırıcı düzeyde güvenlik kontrollerini devre dışı bırakma ve kendi sürekliliğini kurma gibi eylemlerde bulunur. Aynı zamanda, yeniden kullanılmış SSH anahtarları aracılığıyla diğer sistemlere yayılabilir.
Etkilenen Sistemler
Saldırıya açık sistemler, yapay zeka uygulamaları için kullanılan Langflow platformunu barındıran sunuculardır. Özellikle, geçmişte CVE-2025-3248 gibi başka kritik güvenlik açıkları da tespit edilmiştir.
Saldırının geri planında, hackerlar kaynakları boşa harcadığı için, şunlar da dahil olmak üzere birçok savunmasız sistemi hedefler:
- Kinsing
- WatchDog
- Rocke
- Outlaw
Bu malware, AppArmor, Ubuntu’nun Basit Güvenlik Duvarı, iptables ve SELinux gibi güvenlik desteklerini devre dışı bırakma yeteneğine sahiptir.
Çözüm ve Korunma
Bu saldırılardan korunmak için aşağıdaki önlemleri almanız şiddetle tavsiye edilmektedir:
- Langflow sistemlerinizi hemen güncelleyiniz ve en son yamaları uygulayınız.
- İlgili açıktan etkilenmemek için, API uç noktalarını güvenli hale getiriniz ve kimlik doğrulama yapmayı ihmal etmeyiniz.
- (Opsiyonel) Kripto madenciliği ve başka zararlı yazılımların faaliyetlerini engellemek için portları kapatmayı düşününüz.
Bu tür güvenlik açığı ve saldırıların artış gösterdiği günümüzde, sürekli olarak güvenlik önlemlerinizi gözden geçirmeniz önemlidir. Sistemlerinizi korumak adına, mevcut siber güvenlik politikalarınızı ve uygulamalarınızı güçlendirmeyi unutmayın.
