Yeni Tehdit: Flodrix Botnet Malware ve Langflow Açığı
Son zamanlarda siber güvenlik uzmanları, Langflow adlı bir platformda tespit edilen kritik bir güvenlik açığının kötüye kullanıldığına dair önemli uyarılarda bulundular. Bu açık, CVE-2025-3248 kodu ile sınıflandırılmış ve 9.8’lik yüksek bir CVSS skoru ile değerlendirilmiştir. Langflow, yapay zeka uygulamaları geliştirmek için kullanılan, Python tabanlı bir "görsel framework"tur. Bu açık, kullanıcı doğrulaması eksikliği nedeniyle, saldırganların yetkilendirilmiş HTTP istekleri ile sunucularda rastgele kod çalıştırmalarını sağlıyor.
Açığın Kötüye Kullanılması
Saldırganlar, Langflow sunucularını ele geçirerek Flodrix botnet malware’ini indirip kurmak için bu açığı kullanıyorlar. Trend Micro araştırmacıları, bu durumun nasıl gerçekleştiğini detaylı bir teknik rapor ile açıkladı. Açığın, Mart 2025‘te Langflow tarafından yamanmış olmasına rağmen, açık internet üzerindeki yamanmamış Langflow örneklerinin hedef alındığına dikkat çekiyorlar. CISA (Cybersecurity and Infrastructure Security Agency), bu güvenlik açığının aktif olarak istismar edildiğini belirterek uyarılarda bulunmuştu.
Nasıl Çalışıyor?
Langflow sunucularındaki açık, saldırganların shell script indirmelerini ve çalıştırmalarını kolaylaştırıyor. Trend Micro, saldırganların 80.66.75[.]121:25565 adresinden Flodrix botnet malware’ini çekmek için indirme komut dosyalarını kullandıklarını tespit etti. Bu malware yüklendikten sonra, TCP üzerinden uzaktaki sunucuyla iletişim kurarak komut alıyor ve hedef IP adreslerine karşı Dağıtılmış Hizmet Reddi (DDoS) saldırıları gerçekleştiriyor.
Langflow’da dışarıdan gelen girdilerin doğrulanmaması ve sandboxing işleminin uygulanmaması, bu kötü amaçlı yazılımların sunucu üstünde kolayca çalıştırılmasına yol açıyor. Bu durum, saldırganların tüm hassas sunucuları profil çıkarma amaçlı analiz etmesine olanak tanıyor.
Flodrix Botnet’in Özellikleri
Flodrix botnet’in Moobot grubuna bağlı olan bir diğer botnet olan LeetHozer‘ın evrimi olarak değerlendirilmektedir. Flodrix, kendini gizli bir şekilde kaldırabilme, delil izlerini azaltabilme ve komut kontrol sunucu adreslerini görünmez kılmak gibi gelişmiş yetenekler içermektedir. Yeni sürüm, DDoS saldırılarında yeni türlerin yer almasını sağlarken, bu saldırılar artık şifrelenmiş durumdadır. Bu da hem saldırganların tespit edilmesini zorlaştırıyor hem de forensic analizleri karmaşıklaştırıyor.
Ayrıca, Flodrix’in yeni örneği, çalıştırılan süreçleri sorgulamak için /proc dizinini açarak sistemdeki süreçlerin listesini alıyor. Böylece daha fazla bilgi edinerek hedef kitleyi belirliyor.
Önlemler ve Çözüm Önerileri
Kullanıcıların, Langflow sunucularını güncellemeleri ve yamalarını uygulamaları kritik öneme sahiptir. Güvenlik duvarları ve IDS/IPS sistemleri gibi tehdit önleyici araçların kullanımı, kötü niyetli saldırılara karşı koruma sağlar. Ayrıca, sistem loglarının düzenli olarak izlenmesi ve analiz edilmesi, anormal faaliyetlerin hızla tespit edilmesine yardımcı olacaktır.
Siber güvenlik alanında uzmanlaşan şirketler ve kurumlar, çalışanlarına güvenlik eğitimleri vermeli ve güncel tehditler hakkında bilgilendirmelerde bulunmalıdır. Bu sayede, insan hatasından kaynaklanan riskler minimize edilmelidir.
Sonuç Olarak
Langflow üzerindeki açık, siber saldırganların DDoS saldırıları gibi ciddi tehditler oluşturmasına yol açan önemli bir zafiyettir. Gelecekte benzer güvenlik açıklarının oluşmasını engellemek için yazılım güncellemeleri, kullanıcı eğitimi ve sistem güvenliği hakkında farkındalık büyük önem taşımaktadır. Bu tür bilgilerin paylaşılması, hem bireylerin hem de kurumların güvenliğini artıracaktır.
