Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Kritik: Langflow RCE ile AI Ajansı Veri Tabanı Fidye Saldırısı Yapıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Kritik: Langflow RCE ile AI Ajansı Veri Tabanı Fidye Saldırısı Yapıyor

Siber Güvenlik

Kritik: Langflow RCE ile AI Ajansı Veri Tabanı Fidye Saldırısı Yapıyor

teknomers
Son güncelleme: 2 Temmuz 2026 12:24
teknomers
Paylaş
Paylaş

Giriş

AI destekli siber saldırıların yeni bir boyuta ulaştığı görülüyor. Sysdig güvenlik firması, yapay zeka tarafından baştan sona yürütülen ilk fidye yazılımı saldırısını tespit etti.

Saldırı Nasıl Çalışıyor?

Sysdig’in Tehdit Araştırma Ekibi, saldırganı JADEPUFFER olarak adlandırdı ve bir büyük dil modelinin tüm süreci yönettiğini belirtti: sisteme sızmak, kimlik bilgilerini çalmak, ağa daha derinlemesine ilerlemek ve sonunda bir şirketin üretim veritabanını şifreleyerek silmek.  CVE-2025-3248  açığı, Langflow isimli açık kaynaklı bir yapay zeka uygulama geliştirme aracında yer alan ve mevcut olan bir yetkisiz erişim hatasıdır. Bu açık, sunucuya erişimi olan herhangi birinin login olmadan Python kodu çalıştırmasına olanak tanıyor.

Langflow sunucuları, sıklıkla internete açık durumda bulunması ve bağlandıkları hizmetlerin API anahtarlarıyla bulut kimlik bilgilerini tutmaları nedeniyle cazip hedeflerdir. Langflow 1.3.0 sürümünde bu hata kapatılmıştır, ancak birçok sunucu hiç güncellenmemiştir.

Etkilenen Sistemler

Saldırgan içeride hızla hareket etti ve ardından şunları yaptı:

  • Makineyi haritaladı ve gizli bilgileri araştırdı: AI hizmetleri için API anahtarları (OpenAI, Anthropic, DeepSeek, Gemini), bulut kimlik bilgileri (Alibaba ve Tencent gibi Çinli sağlayıcıların yanı sıra AWS, Google ve Azure) ve veritabanı oturum açma bilgileri.
  • MinIO depolama sunucusunu varsayılan giriş kimliğiyle (minioadmin:minioadmin) soydu.
  • Bir geri dönüş yolu oluşturdu ve her 30 dakikada bir saldırganın sunucusuna ping atan planlanmış bir görev ekledi.
  • Gerçek hedefe doğru ilerleyerek, internete açık bir MySQL veritabanı ve Alibaba’nın mikro hizmetlerde yaygın olarak kullandığı Nacos’u hedef aldı.

fidye Notu ve Anahtar Eksikliği

Saldırgan, tüm 1,342 Nacos ayarını şifreleyerek orijinal tabloları kaldırdı ve Bitcoin talep eden bir fidye notu bıraktı. Şifreleme anahtarını rastgele üretti, ekrana bir kez yazdırdı ve hiçbir yere kaydetmedi ya da göndermedi.

Kurban, ödemeyi yapsa bile verilerine erişemeyecek. AES-256 kullanıldığı iddia edilse de, Sysdig kullanılan aracın varsayılan olarak daha zayıf olan AES-128 ile çalıştığını belirtiyor.

Uzmanlar Zaten Bir AI Kullanıldığını Nasıl Anladı?

Kodun kendisi en belirgin işaretti. Saldırı yükleri, her adımın neden alındığını açıklayan sade İngilizce notlarla doluydu; her insan hackerın yazmayı düşünmeyeceği bu tür açıklamalar bir modelin varsayılan çıktısıdır.

Sysdig, bu işlemler boyunca 600’den fazla ayrı ve hedefli yük saydı.

Daha Büyük Bir Değişimin Parçası

JADEPUFFER, AI destekli saldırılarda hızlı bir gelişimi temsil ediyor. Ağustos 2025’te, ESET, ilk AI destekli fidye yazılımı olarak duyurulan PromptLock’u işaret etti, ancak daha sonra bunun bir lab prototipi olduğu ortaya çıktı.

Ayrıca, Anthropic’in Claude Code aracıyla en az 17 kuruluşa yapılan bir gerçek fidye kampanyası rapor edildi. Bu kampanyada, insan hala kontrol ediyor olsa da, talepler 500,000 doları aşıyordu.

Çözüm ve Korunma

Alınacak önlemler oldukça tanıdık. Langflow’u güncellemeli ve kod çalıştırma uç noktalarını internete kapatmalısınız. Ayrıca, AI araçlarınızda bulut anahtarları ve sağlayıcı kimlik bilgileri bulundurmamalısınız; bunları doğru bir yöneticide saklayın ve internet erişiminin olmadığı bir ortamda tutun.

Nacos’u güçlendirin: varsayılan imza anahtarını değiştirin, internetten kapalı tutun ve veritabanına root olarak bağlanmasına izin vermeyin. Veritabanınızın yönetici hesabını internete açmayın ve dışa çıkan trafiği kilitleyin, böylece hacklenen bir sunucu geri bağlantı kuramaz.

Sysdig’e göre, kötü davranışı gerçek zamanlı izlemek, yamalamak için acele etmekten daha önemlidir. Yayınladıkları göstergeler arasında:

  • Giriş noktası: CVE-2025-3248 (Langflow yetkisiz uzaktan kod çalıştırma)
  • Komut ve kontrol: 45.131.66[.]106, her 30 dakikada bir hxxp://45.131.66[.]106:4444/beacon adresine ping atan bir sinyal
  • Öne sürülen hazırlık sunucusu: 64.20.53[.]230
  • Fidye Bitcoin adresi: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy; iletişim e78393397[@]proton[.]me; fidye tablosu README_RANSOM

JADEPUFFER, bir uyarı işareti olarak değerlendirilmeli. Tüm bu hamlelerden hiçbiri yeni veya zekice değil. Yeni olan, bu işlemlerin bir model tarafından tamamlanarak dikkat çeken bir sunucuya karşı bir saldırı oluşturulmasıdır.

Gelecekte benzer olaylar daha sık görülecektir, bu nedenle keşfedilen her sunucu, yapılandırma deposu veya veritabanı yönetici girişinin bir makine tarafından kontrol edileceğini düşünün.

Acil: Yeni ChocoPoC Kötü Amaçlı Yazılım, Araştırmacıları Hedefliyor
Genworth Financial, 2,7 Milyon Poliçe Sahibine ve Müşteriye Ait SSN’lerin Sızdırıldığı Veri İhlalini Raporladı
ChatGPT Yaş Tahmini ile Küçüklerin Erişimini Kısıtlıyor
Minecraft 2.38 Güncellemesi 15 Şubat’ta Oyuncu Hareketini İyileştiriyor ve Daha Fazla Düzeltme Yapıyor
MSP’ler Neden 2024’te Hala Sayısız Siber Güvenlik Aracıyla Boğuluyor?
ETİKETLENDİ:AjansıFidyeileKritikLangflowRCEsaldırısıtabanıVeriyapıyor
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Amazon, Starlink Rakibini Launch Etmek İçin Yeterli Uyduya Sahip mi?
Sonraki Makale Açık Kapalı Prensibi (OCP) – DEV Community

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Gen Z’nin Büyük Teknolojiye Başkaldırısı: Luddite Festivali Neler Sunuyor?
Genel
Açık Kapalı Prensibi (OCP) – DEV Community
Yazılım
Amazon, Starlink Rakibini Launch Etmek İçin Yeterli Uyduya Sahip mi?
Liste
Sıcak Hava Dalgaları Tehlikeli! 4 Temmuz Aktiviteleri Durumu Kötüleştirecek
Genel
Kritik: Dağınık Örümcek Hırsızı ABD’ye İade Edildi!
Siber Güvenlik
Acil! Yeni ChocoPoC RAT, Bilim İnsanlarını Hedef Alıyor
Siber Güvenlik
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?