Source: https://www.securityweek.com/recent-langflow-vulnerability-exploited-by-flodrix-botnet/
🛡 概要
最近、Langflowプラットフォームに存在する脆弱性CVE-2025-3248がFlodrixボットネットによって悪用されていることが確認されました。Trend Microが警告を発したこの脆弱性は、リモートの未認証攻撃者による任意のコード実行を可能にします。この問題は、Langflowのバージョン1.3.0に対するパッチがリリースされた後、早期に発覚しました。CISAがこの脆弱性を既知の悪用脆弱性リストに追加したことで、セキュリティコミュニティの注目を集めています。
🔍 技術詳細
CVE-2025-3248は、Langflowプラットフォームが持つ重大な脆弱性であり、攻撃者はインターネット上の脆弱なインスタンスをスキャンし、公開されているPoC(概念実証)を利用してシェルアクセスを取得します。これにより、様々なコマンドを実行し、システムの情報を収集することが可能になります。Trend Microによると、攻撃者はFlodrixマルウェアをダウンロードし、実行することで、C&Cサーバーに接続し、指令を待ち受ける仕組みです。このマルウェアは、過去にQihoo 360が分析したLeetHozerマルウェアの進化版とされ、多くの隠蔽技術を使用しています。
⚠ 影響
Flodrixボットネットによる攻撃は、DDoS攻撃を主な目的としており、脆弱なLangflowインスタンスを持つユーザーに深刻な影響を及ぼします。Trend Microの調査によれば、過去1ヶ月で370以上のIPアドレスがCVE-2025-3248を悪用しようとしたことが確認されています。また、Censysの検索エンジンでは、1600以上のインターネットに露出したLangflowインスタンスが見つかっていますが、実際にどれだけが脆弱であるかは不明です。これにより、企業や個人はセキュリティリスクにさらされる可能性があります。
🛠 対策
Langflowプラットフォームのユーザーは、迅速に最新のパッチを適用し、システムの保護を強化する必要があります。特に、脆弱性情報をもとにインスタンスを監視し、異常な活動を早期に発見することが重要です。また、ファイアウォールや侵入検知システムを導入し、外部からの不正アクセスを防ぐ対策を講じることが推奨されます。加えて、定期的なセキュリティ監査を行い、システムの脆弱性を把握し、改善を図ることが必要です。
