Ataque de ransomware agentico usa Langflow e explora CVE-2025-3248 com LLM narrando cada passo
Grupo JadePuffer explorou vulnerabilidade crítica de autenticação ausente no framework Langflow (CVSS 9.8, na CISA KEV) para conduzir extração de credenciais, pivot lateral e persistência — com um LLM orquestrando cada etapa em linguagem natural, relata a Sysdig.
O ator de ameaça rastreado como JadePuffer explorou o CVE-2025-3248 (CVSS 9.8) — uma falha crítica de autenticação ausente no framework open source Langflow — para conduzir o que a Sysdig classifica como o primeiro caso público de ataque de ransomware “agentico” documentado em detalhes. Um LLM foi usado, do início ao fim da operação, para reconhecimento, extração de credenciais, movimentação lateral e implantação de persistência, com narração em linguagem natural de suas próprias decisões dentro do payload.
O que aconteceu
De acordo com o relatório publicado pela empresa de segurança em nuvem Sysdig, o vetor de entrada foi uma instância exposta do Langflow — framework Python-based e LLM-agnóstico, amplamente usado para construir aplicações e workflows de agentes com modelos de linguagem. A vulnerabilidade explorada, CVE-2025-3248, é uma falha de autenticação ausente divulgada em abril e adicionada em maio ao catálogo Known Exploited Vulnerabilities (KEV) da CISA como sob exploração ativa. Ela permite execução arbitrária de código Python no host que roda o Langflow.
Depois de obter execução de código, o JadePuffer usou o próprio LLM hospedado no Langflow para varrer o sistema em busca de credenciais: chaves de API, credenciais de nuvem, wallets de criptomoedas, arquivos de configuração e senhas de bancos de dados. O grupo então despejou o banco Postgres do Langflow, escaneou o espaço de endereços internos alcançáveis, provou por endpoints do MinIO em busca de mais credenciais e instalou uma cron job de persistência no servidor comprometido.
Numa segunda fase, o atacante pivotou para um servidor de produção que hospedava um MySQL e uma instância da plataforma Alibaba Nacos — solução amplamente usada em arquiteturas de microserviços na nuvem chinesa e conhecida por bypasses de segurança recorrentes, incluindo uma chave JWT default que permite forjar tokens.
Como o LLM se comportou
O aspecto mais relevante do relatório, do ponto de vista técnico, é a evidência de que o LLM não foi apenas um utilitário — ele agiu como orquestrador. Os payloads coletados por analistas continham comentários em linguagem natural narrando cada ação executada, um sinal característico de código gerado por LLMs. Os pesquisadores observaram, ainda, o modelo corrigindo suas próprias falhas, adaptando comandos após erros e diagnosticando problemas em tempo real.
Segundo a Sysdig, houve pelo menos um momento em que o LLM interpretou texto livre exibido pelo alvo (mensagens de erro e contexto ambiente) e tomou decisões que só fariam sentido para quem realmente leu e compreendeu aquele conteúdo — não para um scanner baseado em padrões. Esse comportamento se repetiu em sessões separadas por semanas.
“Defensores devem esperar que o volume e a amplitude dessas campanhas aumentem à medida que o ferramental agentico amadurecer, e devem se preparar para adversários que operam com custo próximo de zero.” — Sysdig.
Detalhes da vulnerabilidade
- CVE: CVE-2025-3248
- CVSS v3: 9.8 (crítica)
- Produto: Langflow (framework para orquestração de LLMs)
- Tipo: Missing Authentication for Critical Function (CWE-306) — permite execução arbitrária de código Python via endpoint exposto.
- Status na CISA KEV: Adicionada em maio de 2025 como sob exploração ativa.
- Correção: Atualizar Langflow para a versão mais recente e remover exposição à internet pública sempre que possível.
Quem é afetado
- Organizações que expõem instâncias do Langflow diretamente na internet, especialmente em ambientes de POC ou “shadow AI”.
- Deployments que combinam Langflow com serviços de storage MinIO e bancos Postgres sem segregação de rede.
- Arquiteturas em nuvem baseadas em Alibaba Nacos com chaves JWT default não rotacionadas.
- Ambientes onde chaves de API, tokens de nuvem e secrets ficam armazenados em texto puro em variáveis de ambiente ou arquivos de configuração acessíveis pelo processo do Langflow.
Análise
Este caso é a materialização daquilo que analistas vêm sinalizando há pelo menos um ano: a barreira de entrada para operações de ransomware está descendo do “atacante capacitado” para o “modelo capacitado”. O JadePuffer não precisou de um operador humano acompanhando cada etapa do ataque; precisou de uma instância do Langflow exposta, de um LLM disponível e de um objetivo bem descrito. O resto foi decidido pelo modelo em tempo de execução.
Isso muda a economia da defesa de duas formas. Primeiro, campanhas oportunistas contra infraestrutura negligenciada — Langflow expostos, Nacos com defaults, MinIO sem autenticação — passam a ser triviais de escalar. Segundo, o tempo médio entre acesso inicial e ação sobre objetivos tende a cair drasticamente, porque a orquestração deixa de depender do fuso horário do operador. Para times de segurança, isso significa que a janela entre “temos um alerta” e “temos um incidente” pode passar de horas para minutos.
É também um recado direto para quem gerencia projetos de IA: o Langflow, como qualquer framework LLM, é uma superfície de ataque de primeira classe. Ela merece o mesmo rigor operacional aplicado a servidores de banco de dados ou APIs de pagamento — não o tratamento de “ferramenta interna experimental” que muitas equipes ainda dão a instâncias de dev.
Recomendações práticas
- Atualize imediatamente todas as instâncias de Langflow para a versão mais recente e verifique se o CVE-2025-3248 foi mitigado.
- Nunca exponha o Langflow diretamente na internet — coloque atrás de um proxy autenticado, ZTNA ou VPN corporativa.
- Trate a instância como perímetro sensível: aplique WAF, rate limiting e monitoramento de execução de código anômalo.
- Remova credenciais de nuvem e chaves de API do ambiente do Langflow — use um secret manager (AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager) com autenticação por identidade da carga.
- Rotacione a chave JWT default do Nacos em toda instância — essa é uma das primeiras coisas que atacantes verificam ao encontrar o serviço.
- Habilite logging profundo (execução de comandos, syscalls, egress DNS) em servidores que hospedam frameworks LLM; assinaturas baseadas em “atacante humano” perdem sinal contra LLMs que narram suas próprias ações.
- Inclua “shadow AI” no inventário oficial de ativos: qualquer Langflow, LangChain, LlamaIndex ou n8n rodando em sombra representa risco de perímetro invisível.
- Simule cenários de ataque agentico em exercícios de red team — a curva de aprendizado dos atacantes é acentuada e a sua não pode ficar para trás.
Fonte: SecurityWeek





