متغير جديد من شبكة Flodrix يستغل ثغرة RCE في خوادم Langflow لتشن هجمات DDoS واسعة النطاق

متغير جديد من شبكة Flodrix يستغل ثغرة RCE في خوادم Langflow لتشن هجمات DDoS واسعة النطاق
متغير جديد من شبكة Flodrix يستغل ثغرة RCE في خوادم Langflow لتشن هجمات DDoS واسعة النطاق
شارك هذا الخبر

حذّر باحثون في مجال الأمن السيبراني من حملة جديدة نشطة تستغل ثغرة أمنية حرجة تم الكشف عنها مؤخرًا في منصة Langflow من أجل نشر برمجية Flodrix الخبيثة المرتبطة بشبكات البوت نت.

وقال باحثو شركة Trend Micro – علي أكبر زهراوي، أحمد محمد إبراهيم، سونيل بهارتي، وشوبام سينغ – في تقرير تقني نُشر اليوم:

“يستغل المهاجمون الثغرة لتنفيذ سكريبتات تحميل خبيثة على خوادم Langflow المصابة، والتي بدورها تقوم بجلب وتنصيب برمجية Flodrix.”

ثغرة خطيرة في Langflow

الحملة تعتمد على استغلال الثغرة المعروفة بالمعرف CVE-2025-3248، والتي تحمل درجة خطورة 9.8 وفقًا لمقياس CVSS. وتتمثل في ثغرة انعدام المصادقة (Missing Authentication) في منصة Langflow – وهي إطار عمل بصري قائم على Python يُستخدم لبناء تطبيقات الذكاء الاصطناعي.

وقد تسمح هذه الثغرة بتنفيذ تعليمات برمجية عن بُعد من قبل مهاجمين غير مصادقين، عبر طلبات HTTP مصمّمة بعناية. وقد قامت منصة Langflow بإصدار التحديث الإصلاحي في الإصدار 1.3.0 الصادر في مارس 2025.

وكانت وكالة الأمن السيبراني الأمريكية CISA قد أدرجت الثغرة ضمن قائمتها للثغرات المستغلة فعليًا في مايو الماضي، فيما كشفت معهد SANS للتقنية عن محاولات استغلالها على خوادم “Honeypot” الخاصة به.

كيف تعمل الهجمة؟

بحسب Trend Micro، يقوم المهاجمون باستهداف خوادم Langflow المكشوفة على الإنترنت والتي لم يتم تحديثها، عبر استغلال كود إثبات المفهوم (PoC) المتاح علنًا، لتنفيذ عمليات استطلاع وإسقاط سكريبت shell يقوم بجلب وتشغيل برمجية Flodrix .

عقب التثبيت، تُنشئ برمجية Flodrix قناة اتصال مع خادم خارجي عبر بروتوكول TCP لتلقي أوامر من مشغلي الهجوم، وتقوم بشن هجمات نفي الخدمة الموزعة (DDoS) ضد عناوين IP مستهدفة. كما تدعم هذه البرمجية الاتصال عبر شبكة TOR المجهولة لزيادة التخفي.

وقال الباحثون:

“نظرًا لعدم فرض منصة Langflow التحقق من صحة المدخلات أو تفعيل بيئة عزل (Sandboxing)، فإن الحمولة الخبيثة تُنفذ داخل سياق الخادم مباشرة، ما يفتح المجال لتنفيذ تعليمات برمجية عن بُعد.”

وأشارت الشركة إلى أن المهاجمين يختبرون عدة سكريبتات تحميل خبيثة من نفس الخادم، مما يدل على أن الحملة لا تزال قيد التطوير النشط.

خلفية تقنية حول Flodrix

تُعتبر Flodrix نسخة متطورة من شبكة بوت نت أخرى تُدعى LeetHozer، والتي تنسب إلى مجموعة Moobot السيئة السمعة.

ومن أبرز خصائص Flodrix الجديدة:

  • القدرة على إزالة نفسها تلقائيًا لتقليل الأدلة الجنائية.

  • إخفاء عنوان خادم التحكم والسيطرة (C2) وبيانات أخرى عبر التعتيم البرمجي.

  • إدخال أنواع جديدة من هجمات DDoS، أصبحت الآن مشفرة أيضًا لإضافة طبقة إضافية من التمويه.

  • تحليل العمليات النشطة داخل النظام من خلال الوصول إلى دليل /proc، ما يتيح لها فحص كل العمليات الجارية بدقة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 405

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة