هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

ثغرة لانغ فلو تُستغل لزرع مُعدّن مونيرو

ملخص للمقال
  • ثغرة لانغ فلو CVE-2026-33017 هي ثغرة تنفيذ أوامر عن بُعد بدون مصادقة بدرجة خطورة 9.3 من 10، وتستهدف خوادم Langflow المكشوفة مباشرة
  • استغلال ثغرة لانغ فلو رُصد خلال 19 يوماً بين 27 مارس و15 أبريل 2026، ما يؤكد حملة نشطة ومنظمة ضد نقاط وصول تطبيقات الذكاء الاصطناعي
  • هجوم زرع مُعدّن مونيرو يبدأ بسطر Python واحد داخل API غير محمية، ثم تنزيل سكربت Shell لجلب الحمولة وتشغيل التعدين خفيةً بالخلفية
  • السكربت الخبيث يفحص عملية lambsys، ويستخدم curl أو wget لتنزيل الملف التنفيذي، ثم يحاول التوسع داخل الشبكة المؤسسية عبر SSH إلى أجهزة أخرى
  • مُعدّن مونيرو النهائي ملف ELF مكتوب بلغة Go، يعطّل بعض طبقات الحماية في لينكس ويوقف برمجيات تعدين منافسة لاحتكار موارد الخادم المصاب
  • خطورة ثغرة لانغ فلو لا تقتصر على استنزاف المعالج والطاقة، بل تمتد لمنح المهاجمين موطئ قدم أولي قد يتحول لاحقاً لانتشار أوسع داخل الشركات
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
ثغرة لانغ فلو تُستغل لزرع مُعدّن مونيرو
محتوى المقال
جاري التحميل...

ثغرة لانغ فلو الجديدة تُستغل حالياً لاختراق نقاط وصول تطبيقات الذكاء الاصطناعي المكشوفة، مع زرع مُعدّن مونيرو والسيطرة على الخوادم.

ما هي ثغرة لانغ فلو ولماذا تُعد خطيرة؟

يدور الهجوم حول الثغرة CVE-2026-33017، وهي ثغرة تنفيذ أوامر عن بُعد من دون مصادقة في منصة Langflow، وحصلت على درجة خطورة 9.3 من 10. هذا يعني أن المهاجم لا يحتاج إلى تسجيل دخول مسبق حتى يبدأ استغلال الخادم إذا كان مكشوفاً على الإنترنت.

اللافت أن النشاط الخبيث رُصد خلال فترة امتدت 19 يوماً بين 27 مارس و15 أبريل 2026، ما يشير إلى حملة نشطة وليست مجرد محاولات عشوائية. ووفق متابعة تيكبامين، فإن المهاجمين يركزون على نقاط نهاية تطبيقات الذكاء الاصطناعي المرتبطة بالشركات للحصول على موطئ قدم أولي داخل الشبكات.

كيف يتم استغلال ثغرة لانغ فلو في زرع مُعدّن مونيرو؟

تبدأ السلسلة البرمجية بسطر Python واحد يُشغَّل داخل واجهة API غير محمية. بعدها يتم تنزيل سكربت Shell خارجي يتولى جلب ملف التعدين وتشغيله في الخلفية دون لفت الانتباه.

ماذا يفعل السكربت بعد التنفيذ؟

  • يفحص ما إذا كان ملف تنفيذي باسم lambsys يعمل بالفعل على الجهاز
  • ينزّل الحمولة الخبيثة عبر curl أو wget
  • يشغّل المُعدّن كعملية منفصلة في الخلفية
  • يحاول الانتقال إلى أجهزة أخرى يمكن الوصول إليها عبر SSH

بهذه الطريقة، لا يقتصر الخطر على استنزاف موارد الخادم في تعدين مونيرو، بل قد يتحول الخادم المصاب إلى نقطة انطلاق لانتشار أوسع داخل البيئة المؤسسية.

ما الذي يفعله مُعدّن مونيرو بعد إصابة الخادم؟

الحمولة النهائية عبارة عن ملف ELF مكتوب بلغة Go، وهو مصمم ليعطّل عدداً من طبقات الحماية في نظام لينكس قبل بدء العمل. كما يسعى إلى إيقاف برمجيات تعدين منافسة حتى يحتكر موارد الجهاز بالكامل.

  • إيقاف عمليات مرتبطة بعائلات مثل Kinsing وWatchDog وRocke وOutlaw
  • تعطيل AppArmor وSELinux وiptables وUFW
  • إيقاف NMI watchdog وبعض وكلاء الحماية السحابية
  • إنشاء آلية استمرارية عبر cron للبقاء بعد إعادة التشغيل
  • الاتصال بخادم خارجي للتحكم والمتابعة

كذلك يحذف المهاجم آثاراً رقمية مهمة عبر إزالة سجلات النظام، ويعدّل ملفات حساسة مثل authorized_keys وcrontab وld.so.preload لتسهيل البقاء والانتشار.

كيف يخفي المهاجمون آثارهم داخل أنظمة لينكس؟

واحدة من أخطر النقاط هي التلاعب بخاصية chattr +i التي تجعل الملفات غير قابلة للتعديل أو الحذف حتى من قبل المستخدم الأعلى صلاحية. هذا الأسلوب معروف في حملات التعدين غير الشرعي لأنه يصعّب على فرق الأمن إزالة التغييرات بسرعة.

الملفات والمسارات المستهدفة تشمل:

  • ~/.ssh/ و ~/.ssh/authorized_keys
  • /etc/crontab و /etc/ld.so.preload
  • /tmp/ و /var/tmp/
  • /var/spool/cron

بعد إزالة السمة غير القابلة للتعديل مؤقتاً، يجري المهاجم تعديلات على الملفات ثم يعيد قفل بعض المسارات مرة أخرى. هذه الخطوة توضح أن الحملة مبنية على خبرة تشغيلية وليست برمجية بدائية.

كيف تحمي الخوادم من ثغرة لانغ فلو؟

الحل الأول هو عدم ترك واجهات Langflow مكشوفة مباشرة على الإنترنت، مع تطبيق التحديثات الأمنية فوراً ومراجعة مفاتيح SSH والمهام المجدولة. كما يُنصح بمراقبة استهلاك المعالج والاتصالات الخارجية غير المعتادة، لأن ثغرة لانغ فلو قد تبدأ بتعدين مونيرو لكنها قد تنتهي باختراق أوسع، وهذا ما تؤكد تيكبامين ضرورة التعامل معه بجدية.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

الكلمات المفتاحية:

#ذكاء اصطناعي #مونيرو

مقالات مقترحة

محتوى المقال
جاري التحميل...