Langflow重大漏洞甫公布就遭到利用

資安公司Sysdig指出，在Langflow於3月17日世界協調時間（UTC）晚間8時發布資安公告後，他們於18日下午4時4分，偵測到第一波嘗試漏洞利用的活動，間隔不到一分鐘，又有另一組人馬加入行列，接著有更多不同來源的端點試圖掃描漏洞，換言之，在漏洞公布約20個小時後，就被用於實際攻擊。Sysdig強調，當時沒有公開的概念驗證（PoC）程式碼能直接套用，這些駭客根據資安公告的內容，建立相關的漏洞利用流程，並開始尋找尚未修補的Langflow主機。

Sysdig透過蜜罐陷阱，於兩天內總共看到有6個IP位址嘗試利用CVE-2026-33017，所有攻擊者都採用相同的漏洞利用策略，在成功利用漏洞後就以Python執行Shell指令，透過HTTP將竊得資料外傳。

相關的漏洞利用活動，大致可分成3個型態。第一個是透過自動化的方式進行掃描，特別的是，其中有4個IP位址在幾分鐘內開始進行相關活動，傳送的有效酬載也相同，因此Sysdig推測，這些IP位址背後的攻擊者可能是同一組人馬。根據這些IP位址發出的請求內容，駭客使用的掃描工具是Nuclei。

另一種是利用自製的漏洞利用指令碼，駭客使用Python打造，其功能是列出受害主機的資料夾與憑證檔案、採集系統指紋，然後試圖傳遞第二階段的有效酬載。

第三種是Sysdig認為最進階的攻擊手法，駭客進行更全面的憑證擷取，涵蓋環境變數、列出檔案系統找出設定檔案及資料庫，甚至進一步挖掘其他應用程式的機密資料。