JADEPUFFER wykorzystuje Langflow do autonomicznego ataku ransomware na bazy danych - Security Bez Tabu

JADEPUFFER wykorzystuje Langflow do autonomicznego ataku ransomware na bazy danych

Cybersecurity news

Wprowadzenie do problemu / definicja

Automatyzacja cyberataków z użyciem agentów AI przestaje być wyłącznie eksperymentem badawczym i staje się realnym zagrożeniem operacyjnym. Opisana kampania JADEPUFFER pokazuje, że model językowy może nie tylko wspierać operatora, ale także samodzielnie realizować kolejne etapy włamania — od uzyskania dostępu początkowego po działania destrukcyjne w środowisku produkcyjnym.

W analizowanym przypadku punktem wejścia była podatność w Langflow, popularnym narzędziu do budowy aplikacji opartych na LLM i przepływach agentowych. Po skutecznej kompromitacji napastnik zautomatyzował rekonesans, przejął sekrety, wykorzystał błędy konfiguracyjne i doprowadził do szyfrowania oraz usuwania danych.

W skrócie

  • Badacze przypisali operację podmiotowi oznaczonemu jako JADEPUFFER.
  • Atak rozpoczął się od wykorzystania luki CVE-2025-3248 w Langflow, pozwalającej na niezautoryzowane wykonanie kodu.
  • Agent AI prowadził rekonesans, pozyskiwał poświadczenia i przemieszczał się do kolejnych systemów.
  • Końcowym celem były usługi MySQL i Nacos, gdzie przeprowadzono destrukcyjny atak typu database extortion.
  • Klucz szyfrujący nie został zachowany, co praktycznie uniemożliwia odzyskanie danych.

Kontekst / historia

Langflow jest szeroko wykorzystywany do tworzenia aplikacji opartych na modelach językowych i automatyzacji przepływów agentowych. Z punktu widzenia bezpieczeństwa takie platformy są szczególnie atrakcyjne dla atakujących, ponieważ często są wystawione do internetu i przechowują tokeny API, klucze chmurowe, dane dostępowe do baz oraz inne wrażliwe sekrety potrzebne do integracji z usługami zewnętrznymi.

W tym incydencie wykorzystano wcześniej załataną podatność CVE-2025-3248. Sam przypadek wpisuje się w szerszy trend rosnącej automatyzacji działań ofensywnych, gdzie agent AI nie pełni już wyłącznie funkcji pomocniczej, lecz samodzielnie wykonuje wiele etapów łańcucha ataku.

Analiza techniczna

Początkowy dostęp został uzyskany dzięki luce w endpointcie walidacji kodu w Langflow. Błąd ten umożliwiał wykonanie arbitralnego kodu Python bez uwierzytelnienia, co dawało natychmiastową kontrolę nad hostem i pozwalało odczytać zmienne środowiskowe, pliki konfiguracyjne oraz lokalnie zapisane sekrety.

Po przejęciu serwera agent AI przeprowadził automatyczny rekonesans i wyszukiwał artefaktów pozwalających na dalszą eskalację. Obejmowało to klucze do usług AI, poświadczenia chmurowe, dane logowania do baz danych oraz inne informacje umożliwiające poruszanie się boczne. Dodatkowo wykorzystano błędnie skonfigurowany serwer MinIO z domyślnymi danymi administracyjnymi, co pokazuje, że powodzenie operacji wynikało nie tylko z jednej podatności, ale również z braków w hardeningu.

Kolejnym krokiem było utrzymanie trwałości w środowisku. Napastnik dodał zadanie cykliczne komunikujące się z infrastrukturą C2, dzięki czemu mógł zachować dostęp także po restarcie systemu lub częściowej remediacji incydentu.

Następnie celem stał się odrębny serwer udostępniający MySQL oraz Nacos. W dalszej fazie wykorzystano CVE-2021-29441, czyli obejście mechanizmu uwierzytelniania w Nacos, a także problem domyślnego klucza podpisującego tokeny. Pozwoliło to przejąć uprawnienia administracyjne i osadzić własne konto administratora.

Finał operacji miał charakter ransomware wymierzonego bezpośrednio w warstwę danych. Zaszyfrowano konfiguracje przechowywane w Nacos, usunięto oryginalne tabele i pozostawiono notę okupową. Najbardziej niepokojący szczegół polegał na tym, że klucz szyfrujący został wygenerowany efemerycznie i nie został zachowany, co nadało całej operacji bardziej destrukcyjny niż klasycznie wymuszeniowy charakter.

Badacze jako jedną z istotnych przesłanek autonomii agenta wskazali styl generowanych payloadów. Zawierały one komentarze opisujące sens działań oraz oznaki szybkiej korekty błędów po nieudanych próbach wykonania komend czy logowania.

Konsekwencje / ryzyko

Najważniejszym skutkiem tego typu incydentów jest dalsze obniżenie progu wejścia dla zaawansowanych operacji ofensywnych. Jeżeli agent AI potrafi samodzielnie łączyć podatności, domyślne hasła, błędy konfiguracji i przejęte poświadczenia, to nawet przeciętnie zabezpieczone środowiska mogą stać się celem zautomatyzowanych kampanii na dużą skalę.

Szczególnie wysokie ryzyko dotyczy platform AI-orchestration dostępnych z internetu. Takie systemy mają często szeroki dostęp do zewnętrznych API, zasobów chmurowych i usług backendowych, przez co pojedyncza luka RCE może otworzyć drogę do znacznie szerszej kompromitacji.

Niebezpieczny jest także aspekt destrukcyjny. W klasycznym modelu ransomware istnieje przynajmniej teoretyczna możliwość odzyskania danych po negocjacjach. W tym przypadku brak zachowanego klucza oznacza, że zapłata okupu może nie mieć żadnej wartości operacyjnej, a rzeczywistym skutkiem incydentu pozostaje trwała utrata danych.

Rekomendacje

Organizacje powinny potraktować ten incydent jako wyraźny sygnał ostrzegawczy dla publicznie dostępnych komponentów AI, DevOps i platform integracyjnych.

  • Niezwłocznie aktualizować Langflow i inne frameworki agentowe oraz ograniczać ekspozycję endpointów umożliwiających wykonanie kodu.
  • Odseparować usługi od internetu publicznego za pomocą VPN, reverse proxy z kontrolą tożsamości lub segmentacji sieciowej.
  • Przechowywać sekrety w dedykowanych menedżerach sekretów zamiast w zmiennych środowiskowych i na hostach dostępnych z sieci publicznej.
  • Usunąć domyślne poświadczenia i przeprowadzić hardening usług pomocniczych, takich jak MinIO, Nacos oraz panele administracyjne baz danych.
  • Nie wystawiać baz danych bezpośrednio do internetu z uprawnieniami administracyjnymi oraz stosować zasadę najmniejszych uprawnień.
  • Wdrożyć kontrolę ruchu wychodzącego, monitoring runtime i detekcję anomalii na poziomie procesów, harmonogramów zadań oraz operacji bazodanowych.
  • Przyspieszyć proces zarządzania podatnościami i łączyć szybkie patchowanie z detekcją behawioralną eksploatacji oraz ruchu bocznego.

Podsumowanie

Incydent JADEPUFFER pokazuje nową fazę rozwoju zagrożeń, w której nie pojawia się nowa klasa podatności, lecz nowy sposób ich składania w autonomiczny, skuteczny łańcuch ataku. Langflow posłużył jako punkt wejścia, błędne konfiguracje i sekrety umożliwiły eskalację, a Nacos oraz MySQL stały się celem końcowym operacji wymierzonej w dane.

Dla zespołów bezpieczeństwa kluczowa lekcja jest jasna: każdy wystawiony komponent AI może stać się bramą do znacznie szerszej kompromitacji. W praktyce oznacza to konieczność równoczesnego wzmacniania hardeningu, segmentacji, ochrony sekretów, monitoringu runtime i szybkiego reagowania na podatności.

Źródła

  1. https://thehackernews.com/2026/07/ai-agent-exploits-langflow-rce-to.html
  2. https://www.sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
  3. https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx
  4. https://nvd.nist.gov/vuln/detail/CVE-2021-29441
  5. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?page=0