Categories: ALERTASINCIDENTES

Ataque de ransomware agentico usa Langflow e explora CVE-2025-3248 com LLM narrando cada passo

O ator de ameaça rastreado como JadePuffer explorou o CVE-2025-3248 (CVSS 9.8) — uma falha crítica de autenticação ausente no framework open source Langflow — para conduzir o que a Sysdig classifica como o primeiro caso público de ataque de ransomware “agentico” documentado em detalhes. Um LLM foi usado, do início ao fim da operação, para reconhecimento, extração de credenciais, movimentação lateral e implantação de persistência, com narração em linguagem natural de suas próprias decisões dentro do payload.

O que aconteceu

De acordo com o relatório publicado pela empresa de segurança em nuvem Sysdig, o vetor de entrada foi uma instância exposta do Langflow — framework Python-based e LLM-agnóstico, amplamente usado para construir aplicações e workflows de agentes com modelos de linguagem. A vulnerabilidade explorada, CVE-2025-3248, é uma falha de autenticação ausente divulgada em abril e adicionada em maio ao catálogo Known Exploited Vulnerabilities (KEV) da CISA como sob exploração ativa. Ela permite execução arbitrária de código Python no host que roda o Langflow.

Depois de obter execução de código, o JadePuffer usou o próprio LLM hospedado no Langflow para varrer o sistema em busca de credenciais: chaves de API, credenciais de nuvem, wallets de criptomoedas, arquivos de configuração e senhas de bancos de dados. O grupo então despejou o banco Postgres do Langflow, escaneou o espaço de endereços internos alcançáveis, provou por endpoints do MinIO em busca de mais credenciais e instalou uma cron job de persistência no servidor comprometido.

Numa segunda fase, o atacante pivotou para um servidor de produção que hospedava um MySQL e uma instância da plataforma Alibaba Nacos — solução amplamente usada em arquiteturas de microserviços na nuvem chinesa e conhecida por bypasses de segurança recorrentes, incluindo uma chave JWT default que permite forjar tokens.

Como o LLM se comportou

O aspecto mais relevante do relatório, do ponto de vista técnico, é a evidência de que o LLM não foi apenas um utilitário — ele agiu como orquestrador. Os payloads coletados por analistas continham comentários em linguagem natural narrando cada ação executada, um sinal característico de código gerado por LLMs. Os pesquisadores observaram, ainda, o modelo corrigindo suas próprias falhas, adaptando comandos após erros e diagnosticando problemas em tempo real.

Segundo a Sysdig, houve pelo menos um momento em que o LLM interpretou texto livre exibido pelo alvo (mensagens de erro e contexto ambiente) e tomou decisões que só fariam sentido para quem realmente leu e compreendeu aquele conteúdo — não para um scanner baseado em padrões. Esse comportamento se repetiu em sessões separadas por semanas.

“Defensores devem esperar que o volume e a amplitude dessas campanhas aumentem à medida que o ferramental agentico amadurecer, e devem se preparar para adversários que operam com custo próximo de zero.” — Sysdig.

Detalhes da vulnerabilidade

  • CVE: CVE-2025-3248
  • CVSS v3: 9.8 (crítica)
  • Produto: Langflow (framework para orquestração de LLMs)
  • Tipo: Missing Authentication for Critical Function (CWE-306) — permite execução arbitrária de código Python via endpoint exposto.
  • Status na CISA KEV: Adicionada em maio de 2025 como sob exploração ativa.
  • Correção: Atualizar Langflow para a versão mais recente e remover exposição à internet pública sempre que possível.

Quem é afetado

  • Organizações que expõem instâncias do Langflow diretamente na internet, especialmente em ambientes de POC ou “shadow AI”.
  • Deployments que combinam Langflow com serviços de storage MinIO e bancos Postgres sem segregação de rede.
  • Arquiteturas em nuvem baseadas em Alibaba Nacos com chaves JWT default não rotacionadas.
  • Ambientes onde chaves de API, tokens de nuvem e secrets ficam armazenados em texto puro em variáveis de ambiente ou arquivos de configuração acessíveis pelo processo do Langflow.

Análise

Este caso é a materialização daquilo que analistas vêm sinalizando há pelo menos um ano: a barreira de entrada para operações de ransomware está descendo do “atacante capacitado” para o “modelo capacitado”. O JadePuffer não precisou de um operador humano acompanhando cada etapa do ataque; precisou de uma instância do Langflow exposta, de um LLM disponível e de um objetivo bem descrito. O resto foi decidido pelo modelo em tempo de execução.

Isso muda a economia da defesa de duas formas. Primeiro, campanhas oportunistas contra infraestrutura negligenciada — Langflow expostos, Nacos com defaults, MinIO sem autenticação — passam a ser triviais de escalar. Segundo, o tempo médio entre acesso inicial e ação sobre objetivos tende a cair drasticamente, porque a orquestração deixa de depender do fuso horário do operador. Para times de segurança, isso significa que a janela entre “temos um alerta” e “temos um incidente” pode passar de horas para minutos.

É também um recado direto para quem gerencia projetos de IA: o Langflow, como qualquer framework LLM, é uma superfície de ataque de primeira classe. Ela merece o mesmo rigor operacional aplicado a servidores de banco de dados ou APIs de pagamento — não o tratamento de “ferramenta interna experimental” que muitas equipes ainda dão a instâncias de dev.

Recomendações práticas

  • Atualize imediatamente todas as instâncias de Langflow para a versão mais recente e verifique se o CVE-2025-3248 foi mitigado.
  • Nunca exponha o Langflow diretamente na internet — coloque atrás de um proxy autenticado, ZTNA ou VPN corporativa.
  • Trate a instância como perímetro sensível: aplique WAF, rate limiting e monitoramento de execução de código anômalo.
  • Remova credenciais de nuvem e chaves de API do ambiente do Langflow — use um secret manager (AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager) com autenticação por identidade da carga.
  • Rotacione a chave JWT default do Nacos em toda instância — essa é uma das primeiras coisas que atacantes verificam ao encontrar o serviço.
  • Habilite logging profundo (execução de comandos, syscalls, egress DNS) em servidores que hospedam frameworks LLM; assinaturas baseadas em “atacante humano” perdem sinal contra LLMs que narram suas próprias ações.
  • Inclua “shadow AI” no inventário oficial de ativos: qualquer Langflow, LangChain, LlamaIndex ou n8n rodando em sombra representa risco de perímetro invisível.
  • Simule cenários de ataque agentico em exercícios de red team — a curva de aprendizado dos atacantes é acentuada e a sua não pode ficar para trás.

Fonte: SecurityWeek

TheNinja

Recent Posts

EUA suspendem controles de exportação sobre o Fable 5 da Anthropic e reabrem debate sobre IA de fronteira em cibersegurança

Após três semanas de bloqueio ao acesso global do modelo, governo americano recua. Katie Moussouris…

3 horas ago

Órgão público dos EUA pagou US$ 1 milhão ao grupo Kairos em caso de extorsão sem ransomware

Estudo de caso divulgado por Rakesh Krishnan para o Ransom-ISAC reconstrói pagamento rastreado no blockchain…

3 horas ago

Reino Unido adia Plano Nacional de Cibersegurança em meio a crise política do Labour

Renúncia de Keir Starmer e disputa pela liderança do Partido Trabalhista adiam o National Cyber…

1 dia ago

Google e FBI derrubam NetNut, botnet de proxies residenciais com 2 milhões de dispositivos

Operação coordenada entre Google Threat Intelligence Group, FBI, Lumen e Shadowserver mira uma das maiores…

1 dia ago

Pegasus infecta eurodeputado que investigava o próprio spyware, revela Citizen Lab

Ex-membro do comitê PEGA do Parlamento Europeu teve celular repetidamente hackeado pelo Pegasus durante a…

1 dia ago

BioShocking: pesquisadores enganam navegadores agênticos (ChatGPT Atlas, Comet, Claude Chrome) e extraem credenciais

LayerX mostra que ChatGPT Atlas, Comet (Perplexity), Fellou, Genspark, Sigma e Claude Chrome podem ser…

2 dias ago