ثغرة لانغ فلو الجديدة تُستغل حالياً لاختراق نقاط وصول تطبيقات الذكاء الاصطناعي المكشوفة، مع زرع مُعدّن مونيرو والسيطرة على الخوادم.
ما هي ثغرة لانغ فلو ولماذا تُعد خطيرة؟
يدور الهجوم حول الثغرة CVE-2026-33017، وهي ثغرة تنفيذ أوامر عن بُعد من دون مصادقة في منصة Langflow، وحصلت على درجة خطورة 9.3 من 10. هذا يعني أن المهاجم لا يحتاج إلى تسجيل دخول مسبق حتى يبدأ استغلال الخادم إذا كان مكشوفاً على الإنترنت.
اللافت أن النشاط الخبيث رُصد خلال فترة امتدت 19 يوماً بين 27 مارس و15 أبريل 2026، ما يشير إلى حملة نشطة وليست مجرد محاولات عشوائية. ووفق متابعة تيكبامين، فإن المهاجمين يركزون على نقاط نهاية تطبيقات الذكاء الاصطناعي المرتبطة بالشركات للحصول على موطئ قدم أولي داخل الشبكات.
كيف يتم استغلال ثغرة لانغ فلو في زرع مُعدّن مونيرو؟
تبدأ السلسلة البرمجية بسطر Python واحد يُشغَّل داخل واجهة API غير محمية. بعدها يتم تنزيل سكربت Shell خارجي يتولى جلب ملف التعدين وتشغيله في الخلفية دون لفت الانتباه.
ماذا يفعل السكربت بعد التنفيذ؟
- يفحص ما إذا كان ملف تنفيذي باسم lambsys يعمل بالفعل على الجهاز
- ينزّل الحمولة الخبيثة عبر curl أو wget
- يشغّل المُعدّن كعملية منفصلة في الخلفية
- يحاول الانتقال إلى أجهزة أخرى يمكن الوصول إليها عبر SSH
بهذه الطريقة، لا يقتصر الخطر على استنزاف موارد الخادم في تعدين مونيرو، بل قد يتحول الخادم المصاب إلى نقطة انطلاق لانتشار أوسع داخل البيئة المؤسسية.
ما الذي يفعله مُعدّن مونيرو بعد إصابة الخادم؟
الحمولة النهائية عبارة عن ملف ELF مكتوب بلغة Go، وهو مصمم ليعطّل عدداً من طبقات الحماية في نظام لينكس قبل بدء العمل. كما يسعى إلى إيقاف برمجيات تعدين منافسة حتى يحتكر موارد الجهاز بالكامل.
- إيقاف عمليات مرتبطة بعائلات مثل Kinsing وWatchDog وRocke وOutlaw
- تعطيل AppArmor وSELinux وiptables وUFW
- إيقاف NMI watchdog وبعض وكلاء الحماية السحابية
- إنشاء آلية استمرارية عبر cron للبقاء بعد إعادة التشغيل
- الاتصال بخادم خارجي للتحكم والمتابعة
كذلك يحذف المهاجم آثاراً رقمية مهمة عبر إزالة سجلات النظام، ويعدّل ملفات حساسة مثل authorized_keys وcrontab وld.so.preload لتسهيل البقاء والانتشار.
كيف يخفي المهاجمون آثارهم داخل أنظمة لينكس؟
واحدة من أخطر النقاط هي التلاعب بخاصية chattr +i التي تجعل الملفات غير قابلة للتعديل أو الحذف حتى من قبل المستخدم الأعلى صلاحية. هذا الأسلوب معروف في حملات التعدين غير الشرعي لأنه يصعّب على فرق الأمن إزالة التغييرات بسرعة.
الملفات والمسارات المستهدفة تشمل:
- ~/.ssh/ و ~/.ssh/authorized_keys
- /etc/crontab و /etc/ld.so.preload
- /tmp/ و /var/tmp/
- /var/spool/cron
بعد إزالة السمة غير القابلة للتعديل مؤقتاً، يجري المهاجم تعديلات على الملفات ثم يعيد قفل بعض المسارات مرة أخرى. هذه الخطوة توضح أن الحملة مبنية على خبرة تشغيلية وليست برمجية بدائية.
كيف تحمي الخوادم من ثغرة لانغ فلو؟
الحل الأول هو عدم ترك واجهات Langflow مكشوفة مباشرة على الإنترنت، مع تطبيق التحديثات الأمنية فوراً ومراجعة مفاتيح SSH والمهام المجدولة. كما يُنصح بمراقبة استهلاك المعالج والاتصالات الخارجية غير المعتادة، لأن ثغرة لانغ فلو قد تبدأ بتعدين مونيرو لكنها قد تنتهي باختراق أوسع، وهذا ما تؤكد تيكبامين ضرورة التعامل معه بجدية.