A falha de RCE sem autenticação em endpoints de inteligência artificial expostos é usada por atores de ameaças para executar scripts remotos, desabilitar firewalls do sistema e iniciar processos de mineração em segundo plano, com risco de movimentação lateral via chaves SSH.
| Componente | Instâncias do framework Langflow expostas à internet e endpoints corporativos de inteligência artificial. |
| Vetor | Exploração ativa da vulnerabilidade de execução remota de código sem autenticação CVE-2026-33017, que avalia e processa requisições maliciosas na API. |
| Impacto | Execução arbitrária de código, desativação forçada de mecanismos de segurança do sistema operacional, roubo de recursos computacionais para criptomineração e propagação lateral automatizada via credenciais SSH reutilizadas. |
| Prioridade | Isolar e restringir o acesso externo a todas as instâncias do Langflow, aplicar as correções de segurança disponibilizadas pelo fornecedor e inspecionar a presença de binários não autorizados em execução no ambiente. |
O cenário atual de segurança demonstra que operadores de ameaças estão utilizando uma vulnerabilidade crítica no Langflow como vetor principal de acesso a infraestruturas corporativas, com o objetivo de implantar e executar criptomineradores projetados para gerar a moeda Monero. A falha rastreada como CVE-2026-33017, que possui uma pontuação CVSS de 9.3, permite a execução remota de código sem a necessidade de credenciais prévias. A exploração tem como alvo direto os endpoints de aplicações de inteligência artificial que se encontram acessíveis publicamente.
Relatórios de investigação constataram uma janela de ataques persistentes ocorrendo ao longo de dezenove dias, com registros de atividade maliciosa entre os dias 27 de março e 15 de abril de 2026. A tática inicial observada.Debugf consiste na injeção de uma única chamada de código na linguagem Python diretamente em um endpoint vulnerável e desprotegido do Langflow. Está requisição maliciosa instrui o sistema a buscar e executar um script shell hospedado remotamente, que por sua vez atua como um agente intermediário para baixar o binário do minerador real e inicializá-lo de forma silenciosa.
A campanha de exploração revela um planejamento focado em longevidade e eliminação de concorrência. O payload entregue tem a capacidade de cruzar o sistema encerrando processos ativos associados a outros conhecidos grupos de criptomineração, como Kinsing, WatchDog, Rocke e Outlaw. Além disso, o ataque tenta apagar materiais de chaves e carteiras de criptomoedas rivais, maximizando o controle sobre os recursos de hardware comprometidos.
A cadeia de infecção se inicia quando o ator de ameaças aciona a falha não autenticada da aplicação, forçando a avaliação de um script em Python. Este estágio inicialização baixa um script shell remoto configurado para agir como um agente de entrega. A primeira função deste agente intermediário é verificar se um binário identificado como lambsys já se encontra em execução no hospedeiro alvo, garantindo que não haja duplicação de processos.
Caso a execução não seja detectada, o script utiliza as ferramentas nativas curl ou wget para transferir o arquivo do binário, lançando-o como um processo independente em segundo plano. Um risco imediato desta fase é a capacidade do código de propagar a infecção lateralmente, automatizando tentativas de conexão a outros sistemas via protocolo SSH reutilizando credenciais ou chaves criptográficas expostas no sistema atual.
O programa malicioso principal é um arquivo executável no formato ELF desenvolvido na linguagem de programação Go. O códigoƱ é projetado com fortes mecanismos de evasão e persistência, incluindo a remoção de atributos de imutabilidade do sistema de arquivos para modificar arquivos críticos do sistema operacional e regras de tarefas agendadas (como o arquivo crontab e diretórios de configuração de chaves SSH). Imediatamente após essas alterações, o malware restaura o atributo imutável em diretórios temporários de execução para bloquear a ação de ferramentas de resposta a incidentes.
Adicionalmente, o binário foca no enfraquecimento da postura de segurança da máquina. Testes indicam que ele sequencialmente desativa módulos de proteção essenciais, como o AppArmor, o Uncomplicated Firewall (UFW), regras do iptables, componentes do SELinux, o watchdog de interrupções não mascarááveis (NMI) do núcleo do sistema e o agente de monitoramento Aliyun em ambientes de nuvem. Para exercer essaikt controle, o malware adota uma abordagem incomum na organização de sua lógica interna.
Com o objetivo de priorizar a confiabilidade do ataque em detrimento da furtividade, o software malicioso ramifica a execução em múltiplos sub-processos efêmeros sh -c. Cada um destes sub-processos é encarregado de rodar um único comando de terminal, como um isolado pkill ou sysctl. Está arquitetura garante que, caso um dos cerca de cinquenta e um comandos de encerramento de processos falhe por restrição de permissões, a falha fique confinada àquela thread específica e os demais comandos anti-forenses continuem em execução sem interrupções.
Na fase final da execução, o binário contata o servidor externo de controle no endereço IP 83.142.209[.]214 na porta 80 para recuperar um arquivo compactado no padrão TAR, do qual é extraído um minerador personalizado da família XMRig. Tão logo a mineração é iniciada, o arquivo original é apagado do disco rígido. O operador também se concentra em estabelecer consciência situacional, enviando uma solicitação de rede para ipinfo[.]io para descobrir o endereço IP público e a localização geográfica do hospedeiro.
Esses dados de localização são utilizados para two estratégias de otimização. A primeira delas é o direcionamento automático para o servidor de mineração (pool) com menor latência física em relação à vítima, maximizando a taxa de transferência de processamento. A segunda trata de um mecanismo de geo-fencing, permitindo que os invasores configurem a campanha para ignorar ou interromper processos em sistemas localizados em jurisdições ou regiões que não apresentem interesse operacional.
A exploração atinge diretamente corporações e desenvolvedores que mantêm instâncias do Langflow operando sem restrições de acesso na borda da internet. Endpoints de inteligência artificial concebidos para comunicação interna mas expostos acidentalmente ao tráfego público tornam-se portas de entrada imediatas para a execução deste código. A presença de aplicações desatualizadas no ambiente amplifica substancialmente a janela de oportunidade para os operadores da ameaça.
- Servidores de aplicações de inteligência artificial baseados em Langflow ativamente expostos a tráfego não autenticado da internet.
- Sistemas Linux hospedando aplicações web ou dependências em contêineres onde chaves SSH não protegidas são compartilhadas entre contas de serviço.
- Máquinas virtuais, servidores on-premise e instâncias de nuvem pública que dependam exclusivamente de mecanismos locais de firewall, como
iptablese AppArmor, que podem ser heartbeat violentamente terminados pelo agente malicioso.
Equipes de defesa e resposta a incidentes devem priorizar a investigação ativa de logs e tráfego de rede suspeito vinculado a chamadas de saída não autorizadas. O rastreamento deve focar em identificar o estabelecimento de comunicação com a infraestrutura de apoio ao ataque, bem como as ações anômalas realizadas em nível de processo durante o estabelecimento do mecanismo de persistência e ocultação.
- Inspecionar logs de proxy de rede e firewalls de borda buscando requisições de saída destinadas a serviços de geolocalização como
ipinfo[.]iooriginárias de servidores internos de IA. - Monitorar alertas de detecção e prevenção de intrusão (IDS/IPS) apontando tentativas de comunicação com o servidor de comando e controle IP
83.142.209[.]214pela porta 80. - Buscar eventos de endpoint indicando a criação rápida de múltiplos sub-processos efêmeros utilizando o interpretador
sh -cpor um binário desconhecido hospedado em diretórios temporários do sistema. - Observar a árvore de processos à procura de sequências de execução onde diversas ferramentas de segurança, como
iptables, módulos doSELinuxou AppArmor, são desativadas em uma ordem sequencial suspeita. - Auditar logs do sistema de auditoria Linux (auditd) por modificações de atributos do sistema de arquivos focando na aplicação e remoção da flag imutável em arquivos críticos do núcleo e autenticação.
A remediação deste incidente exige ações imediatas de controle de superfície de ataque e contenção do movimento lateral. As instâncias do Langflow e plataformas dependentes não devem permanecer expostas externamente sem a presença de mecanismos rígidos de controle de identidade, e os sistemas operacionais subjacentes precisam ter suas defesas restauradas caso tenham sido alteradas.
- Aplicar as atualizações de segurança emitidas pelo mantenedor do Langflow a todos os ambientes de produção, homologação e desenvolvimento que utilizam a plataforma.
- Implementar regras restritivas de acesso na rede bloqueando chamadas externas destinadas aos servidores
ipinfo[.]ioe ao endereço IP83.142.209[.]214a partir de servidores de backend de inteligência artificial. - Realizar uma auditoria completa de chaves de autenticação SSH disponíveis nos hospedeiros suspeitos ou comprometidos e proceder com a rotação de credenciais em escopo corporativo.
- Reiniciar e bloquear políticas de sistema que garantam a execução obrigatória dos módulos do núcleo para AppArmor e SELinux, forçando o bloqueio de tentativas de encerramento de processos associados.
- Habilitar mecanismos de alerta de segurança que identifiquem padrões anômalos de consumo exacerbado de CPU ou GPU, prontamente cruzando esses dados com a criação de processos anômalos executando em background de forma detalhada.
0 Comentários