Hacking
Νέος παραλλαγμένος botnet Flodrix εκμεταλλεύεται κενό ασφαλείας στο Langflow
Νέος παραλλαγμένος botnet Flodrix εκμεταλλεύεται κενό ασφαλείας στο Langflow για επιθέσεις DDoS.
Η νέα απειλή στον κυβερνοχώρο
Οι ερευνητές κυβερνοασφάλειας έχουν εστιάσει σε μια νέα εκστρατεία που εκμεταλλεύεται ενεργά μια πρόσφατα αποκαλυφθείσα κρίσιμη ευπάθεια στο Langflow για να διανείμει το κακόβουλο λογισμικό Flodrix. Η ευπάθεια αυτή επιτρέπει στους επιτιθέμενους να εκτελούν σενάρια λήψης σε παραβιασμένους διακομιστές Langflow, τα οποία στη συνέχεια κατεβάζουν και εγκαθιστούν το Flodrix.
Η ευπάθεια CVE-2025-3248
Η εκμετάλλευση αφορά την ευπάθεια CVE-2025-3248 (βαθμολογία CVSS: 9.8), μια έλλειψη αυθεντικοποίησης στο Langflow, ένα “οπτικό πλαίσιο” βασισμένο σε Python για την ανάπτυξη εφαρμογών τεχνητής νοημοσύνης (AI). Η ευπάθεια αυτή επιτρέπει την εκτέλεση αυθαίρετου κώδικα μέσω ειδικά διαμορφωμένων αιτημάτων HTTP, κάτι που διορθώθηκε από το Langflow τον Μάρτιο του 2025 με την έκδοση 1.3.0.
Εκμετάλλευση και επιπτώσεις
Η επιτυχής εκμετάλλευση της ευπάθειας μπορεί να επιτρέψει σε μη αυθεντικοποιημένους επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα. Τον περασμένο μήνα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε για την ενεργή εκμετάλλευση της CVE-2025-3248, με το Ινστιτούτο Τεχνολογίας SANS να αποκαλύπτει ότι ανίχνευσε προσπάθειες εκμετάλλευσης κατά των honeypot διακομιστών του.
Η στρατηγική των επιτιθέμενων
Τα τελευταία ευρήματα από την Trend Micro δείχνουν ότι οι επιτιθέμενοι στοχεύουν μη ενημερωμένες εκτεθειμένες στο διαδίκτυο εκδόσεις του Langflow, χρησιμοποιώντας δημόσια διαθέσιμο κώδικα απόδειξης της έννοιας (PoC) για να πραγματοποιήσουν αναγνώριση και να κατεβάσουν ένα σενάριο λήψης που είναι υπεύθυνο για την ανάκτηση και εκτέλεση του κακόβουλου λογισμικού Flodrix από τον διακομιστή “80.66.75[.]121:25565”.
Η λειτουργία του Flodrix
Μόλις εγκατασταθεί, το Flodrix δημιουργεί επικοινωνία με έναν απομακρυσμένο διακομιστή για να λαμβάνει εντολές μέσω TCP, με σκοπό την εκκίνηση επιθέσεων διανομής άρνησης υπηρεσίας (DDoS) κατά των στόχων ενδιαφέροντος. Το botnet υποστηρίζει επίσης συνδέσεις μέσω του δικτύου ανωνυμίας TOR.
Προκλήσεις και εξελίξεις
Η Trend Micro αναφέρει ότι οι άγνωστοι επιτιθέμενοι φιλοξενούν διαφορετικά σενάρια λήψης στον ίδιο διακομιστή που χρησιμοποιείται για την ανάκτηση του Flodrix, υποδεικνύοντας ότι η εκστρατεία βρίσκεται σε ενεργή ανάπτυξη. Το Flodrix θεωρείται εξέλιξη ενός άλλου botnet που ονομάζεται LeetHozer και συνδέεται με την ομάδα Moobot.
Νέες δυνατότητες και προκλήσεις ανάλυσης
Η βελτιωμένη παραλλαγή του Flodrix ενσωματώνει τη δυνατότητα να αφαιρείται διακριτικά, να ελαχιστοποιεί τα ίχνη της και να περιπλέκει τις προσπάθειες ανάλυσης με την απόκρυψη των διευθύνσεων των διακομιστών εντολών και ελέγχου (C2) και άλλων σημαντικών δεικτών. Μια σημαντική αλλαγή είναι η εισαγωγή νέων τύπων επιθέσεων DDoS, που τώρα είναι επίσης κρυπτογραφημένες, προσθέτοντας ένα επιπλέον επίπεδο απόκρυψης.
Η νέα παραλλαγή του Flodrix εξετάζει επίσης τις τρέχουσες διεργασίες ανοίγοντας τον κατάλογο /proc για πρόσβαση σε όλες τις τρέχουσες διεργασίες.
