Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Cảnh báo biến thể mới của mã độc Flodrix nhắm vào nền tảng AI Langflow

14:46 | 23/06/2025
M.H

Các nhà nghiên cứu đến từ hãng bảo mật Trend Micro mới đây đã cảnh báo về một lỗ hổng nghiêm trọng đang bị khai thác trên nền tảng Langflow nhằm phát tán mã độc Flodrix.

Theo đó, kẻ tấn công lợi dụng lỗ hổng để thực thi các đoạn mã tải về (downloader script) trên các máy chủ Langflow bị xâm nhập, từ đó cài đặt mã độc Flodrix.

Lỗ hổng này được gán mã định danh CVE-2025-3248 (điểm CVSS: 9.8), đây là một lỗ hổng thiếu xác thực nghiêm trọng trong Langflow - một nền tảng mã nguồn mở viết bằng Python, nhằm hỗ trợ xây dựng ứng dụng AI theo dạng visual framework. Khi bị khai thác thành công, lỗ hổng cho phép kẻ tấn công không xác thực thực thi mã tùy ý thông qua các yêu cầu HTTP độc hại.

Langflow đã xác nhận và vá lỗ hổng này trong phiên bản 1.3.0, phát hành vào tháng 3/2025. Tuy nhiên, nhiều hệ thống chưa cập nhật kịp thời và đang trở thành mục tiêu tấn công trên diện rộng. Đáng chú ý, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về việc lỗ hổng CVE-2025-3248 đang bị khai thác. Đồng thời, Viện Công nghệ SANS cũng ghi nhận hàng loạt tấn công nhắm vào các máy chủ honeypot mà họ triển khai để giám sát hoạt động khai thác này.

Phân tích cho thấy kẻ tấn công đang nhắm vào các máy chủ Langflow có kết nối Internet nhưng chưa vá lỗ hổng. Sau khi xâm nhập, chúng tải xuống một đoạn shell script từ địa chỉ 80[.]66[.]75[.]121:25565, đoạn script này sẽ thực thi việc cài đặt Flodrix, mã độc sẽ kết nối đến máy chủ điều khiển và ra lệnh (C2) để nhận lệnh thực hiện tấn công từ chối dịch vụ phân tán (DDoS) vào các địa chỉ IP mục tiêu. Bên cạnh đó, Flodrix cũng hỗ trợ kết nối thông qua mạng TOR để ẩn danh.

Kẻ tấn công dường như đang thu thập dữ liệu từ tất cả máy chủ đã bị xâm nhập, sau đó phân loại để chọn mục tiêu có giá trị cao cho những đợt tấn công tiếp theo. Trend Micro còn phát hiện cùng một máy chủ chứa mã độc Flodrix cũng lưu trữ các đoạn mã downloader khác, cho thấy chiến dịch này đang trong quá trình mở rộng quy mô.

Các nhà nghiên cứu nhận định, Flodrix có nhiều điểm tương đồng với LeetHozer, một botnet trước đây liên quan đến nhóm tin tặc Moobot. Tuy nhiên, biến thể mới này tích hợp khả năng tự xóa, làm mờ dấu vết pháp lý và ẩn địa chỉ C2 nhằm gây khó khăn cho việc phân tích mã độc. Ngoài ra, mã độc Flodrix mới cũng đã bổ sung tấn công DDoS được mã hóa, gia tăng mức độ che giấu hành vi. Mã độc còn liệt kê các tiến trình đang chạy bằng cách truy cập thư mục /proc, cho phép kẻ tấn công theo dõi hoạt động hệ thống của nạn nhân.

Các tổ chức sử dụng Langflow cần ngay lập tức cập nhật lên phiên bản 1.3.0 hoặc mới hơn, đồng thời theo dõi lưu lượng bất thường trên cổng TCP và kết nối ra ngoài qua TOR.

Twitter Zalo Facebook YouTube Copy Link QR Code
LỖ HỔNG NGHIÊM TRỌNG CVE-2025-3248 THU THẬP DỮ LIỆU AI LANGFLOW BOTNET FLODRIX
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết