18/06/25
Через неё злоумышленники распространяют ботнет Flodrix — усовершенствованный вариант уже известной вредоносной программы LeetHozer, связанной с группировкой Moobot, пишет Securitylab.
Уязвимость CVE-2025-3248 , получившая 9.8 баллов по шкале CVSS, представляет собой отсутствие механизма аутентификации в Langflow — визуальной среде разработки ИИ-приложений на Python. Благодаря этой ошибке, атакующий может удалённо выполнять произвольный код на сервере, отправив специально сформированный HTTP-запрос. Проблема была устранена в версии Langflow 1.3.0, выпущенной в марте 2025 года.
Тем не менее, несмотря на наличие исправления, уязвимость продолжает активно использоваться. В мае Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) включило этот инцидент в свой перечень подтверждённых угроз, а специалисты SANS Institute зафиксировали попытки эксплуатации на своих honeypot-серверах.
Согласно новому отчёту от Trend Micro, злоумышленники используют общедоступный PoC - эксплойт, чтобы проводить разведку уязвимых экземпляров Langflow, доступных из интернета. Затем через уязвимость загружается shell-скрипт, который устанавливает Flodrix с удалённого сервера по адресу 80.66.75[.]121:25565. Установка осуществляется прямо в контексте сервера, так как в Langflow отсутствует проверка входных данных и механизм песочницы.
Flodrix после установки инициирует соединение с командным сервером через TCP, принимая команды для проведения DDoS-атак на выбранные IP-адреса. Также предусмотрена поддержка анонимных соединений через сеть TOR, что усложняет отслеживание действий вредоносной программы.
Отдельно подчёркивается, что инфраструктура атаки находится в процессе активной доработки. Исследователи обнаружили на том же хосте, с которого загружается Flodrix, иные скрипты-загрузчики, что указывает на масштабную кампанию с несколькими векторами распространения.
Ботнет Flodrix в своей новой версии демонстрирует значительные усовершенствования. Он способен удалять собственные следы, скрывать адреса командных серверов, а также использовать шифрование для скрытия типа DDoS-атак. Вредонос анализирует активные процессы на заражённой системе, обращаясь к директории /proc, что может свидетельствовать о попытках профилирования машин для более целенаправленных атак.
Также отмечается, что цель кампании может включать не только массовое заражение, но и выявление серверов с высокой значимостью, которые в дальнейшем будут использоваться для более сложных и разрушительных атак. В сочетании с масштабом распространения и возможностями сокрытия, Flodrix представляет собой существенную угрозу для инфраструктур, использующих устаревшие версии Langflow.
