Source: https://thehackernews.com/2025/06/new-flodrix-botnet-variant-exploits.html
🛡 概要
サイバーセキュリティ研究者は、Langflowにおける最近の重要なセキュリティ脆弱性を悪用してFlodrixボットネットマルウェアを配信する新たなキャンペーンに注目しています。この脆弱性は、CVE-2025-3248として知られ、CVSSスコアは9.8に達します。攻撃者はLangflowサーバー上でダウンローダースクリプトを実行し、Flodrixマルウェアを取得してインストールします。この脆弱性は、Langflowが提供するAIアプリケーション構築のためのPythonベースの「ビジュアルフレームワーク」において、認証が欠如しているために発生します。
🔍 技術詳細
この脆弱性は、LangflowのHTTPリクエストを通じて任意のコードを実行することを可能にします。成功した攻撃者は、認証なしでサーバー上で任意のスクリプトを実行できます。Langflowは2025年3月にこの脆弱性を修正するバージョン1.3.0をリリースしました。米国のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、CVE-2025-3248の悪用が現実に行われていることを警告しており、SANSテクノロジー研究所はそのハニーポットサーバーに対する攻撃試行を検出しました。Trend Microの調査によると、攻撃者は未修正のLangflowインスタンスを標的にしており、公開されたPoCコードを利用して情報収集を行い、Flodrixマルウェアを取得するためのシェルスクリプトダウンローダーを設置しています。
⚠ 影響
Flodrixボットネットが設置されると、攻撃者はリモートサーバーと通信を確立し、ターゲットIPアドレスに対してDDoS攻撃を実行します。このボットネットは、TOR匿名ネットワークを介した接続もサポートしています。Langflowは入力検証やサンドボックス化を行わないため、これらのペイロードはサーバーのコンテキスト内でコンパイルされ、実行されます。この結果、攻撃者は脆弱なサーバーをプロファイリングし、将来の感染に向けた高価値ターゲットを特定する可能性が高まります。Flodrixは、Moobotグループに関連するLeetHozerという他のボットネットの進化版と見なされています。
🛠 対策
この脆弱性からの保護のためには、Langflowを最新のバージョンにアップデートすることが最も重要です。また、未修正のインターネットに接続されたLangflowインスタンスを特定し、迅速にパッチを適用する必要があります。さらに、ネットワークトラフィックを監視し、異常な活動を検出するためのセキュリティ対策を強化することが推奨されます。DDoS攻撃の兆候が見られた場合は、速やかに専門家の助けを求めることが重要です。
