Kritische Sicherheitslücke in Langflow: Flodrix-Botnetz bedroht KI-Infrastrukturen

LONDON (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in Langflow, einem beliebten Python-Framework für die schnelle KI-Prototypenentwicklung, hat die Aufmerksamkeit von Cyberkriminellen auf sich gezogen. Diese nutzen die Schwachstelle aus, um das Flodrix-Botnetz zu verbreiten und Systeme zu kompromittieren.

Langflow, ein weit verbreitetes Python-Framework für die schnelle Entwicklung von KI-Prototypen, steht derzeit im Fokus von Cyberangriffen. Forscher haben die Sicherheitslücke CVE-2025-3248 im Endpoint /api/v1/validate/code entdeckt, die es Angreifern ermöglicht, mit einem einzigen manipulierten POST-Request beliebigen Python-Code auszuführen. Diese Schwachstelle hat zu einer Welle von Angriffen geführt, bei denen Hacker massenhaft nach verwundbaren Servern suchen, die Versionen vor 1.3.0 verwenden.

Innerhalb weniger Stunden nach der Veröffentlichung eines Proof-of-Concepts begannen Bedrohungsakteure, Plattformen wie Shodan und FOFA zu durchsuchen, um anfällige Server zu identifizieren. Die Angreifer nutzen zunächst einfache Erkundungsbefehle wie whoami, bevor sie zu vollständigen Remote-Shells übergehen. Die Risiken sind erheblich: Ein kompromittiertes System kann für DDoS-Angriffe oder den Diebstahl von Daten missbraucht werden, was die KI-Workflows, die es eigentlich beschleunigen sollte, gefährdet.

Analysten von Polyswarm haben das plötzliche Auftauchen neuer Malware-Proben bemerkt, die durch eine XOR-verschlüsselte String-Tabelle und einen sich selbst löschenden Loader gekennzeichnet sind. Diese Merkmale weisen auf das aufkommende Flodrix-Botnetz hin, das sich von seinem Vorgänger LeetHozer unterscheidet, indem es Kindprozesse mit irreführenden Namen erstellt und forensische Artefakte löscht. Zudem infiziert es keinen Host erneut, wenn eine versteckte .system_idle-Datei vorhanden ist, die signalisiert, dass der Knoten bereits übernommen wurde.

Die Kampagne hat ein beachtliches Ausmaß erreicht: Über 1.600 internetzugängliche Langflow-Server wurden identifiziert, viele davon in Forschungs-Clouds und Startup-Clustern, wo Standardkonfigurationen den verwundbaren Endpoint freilegen. Erste Opfer berichten von CPU-Spitzen und ausgehendem Datenverkehr zu Tor-Relays, Minuten nach dem Einbruch, was die doppelte Rolle des Botnetzes als DDoS-Kanone und verdeckter Datensiphon unterstreicht.

Der Angriff beginnt mit einem 200-Byte-Exploit, der Python direkt in den Worker-Prozess von Langflow injiziert und einen Downloader im Verzeichnis /tmp/docker startet, der die Haupt-ELF-Nutzlast über rohes TCP oder versteckte Tor-Kreise abruft. Nach der Ausführung überprüft Flodrix, ob Root-Rechte vorhanden sind, und installiert bei Erfolg einen systemd-Dienst namens langflow-sync.service, um die Persistenz beim Neustart zu gewährleisten.

Das Kern-Bot führt dann eine Routine aus, um seine C&C zu verschleiern: seed = 0x5A addr_enc = b’\x13\x37\x42\x1f’ c2 = bytes([(b ^ seed) for b in addr_enc]) # XOR-dekodierte C2-IP. Derselbe Seed dient auch als Kill-Switch; wenn Verteidiger ihn an Port 6666/TCP senden, beenden infizierte Hosts sofort ihren Betrieb.

Solange Unternehmen nicht auf Version 1.3.0 aktualisieren und öffentliche Endpoints durch Firewalls schützen, wird Flodrix weiterhin ungeschützte KI-Knoten in gehorsame Belagerungsmaschinen verwandeln – ein POST-Request nach dem anderen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!