25 июня 2026 года исследовательская группа Sysdig Threat Research Team (TRT) зафиксировала первую известную атаку с использованием уязвимости CVE-2026-55255 в платформе Langflow, получившей оценку 9,9 балла по шкале CVSS. Langflow представляет собой открытое средство визуальной разработки агентов искусственного интеллекта и конвейеров RAG (генерации с дополнением результата поиска). Несмотря на максимально высокий рейтинг опасности, эта уязвимость долгое время оставалась без внимания злоумышленников. В то же время другая уязвимость того же продукта, CVE-2026-33017, имеющая оценку 9,3, уже эксплуатировалась тысячи раз. Наблюдения Sysdig позволяют понять, почему атакующие отдают предпочтение менее опасным, но более простым в применении векторам.
Описание
CVE-2026-55255 относится к классу IDOR (небезопасная прямая ссылка на объект между разными арендаторами). Она позволяет авторизованному пользователю выполнить произвольный рабочий процесс (flow) другого пользователя, передав его идентификатор UUID в запросе к конечной точке /api/v1/responses. Проблема заключается в функции get_flow_by_id_or_endpoint_name: при поиске потока по UUID проверка принадлежности конкретному пользователю отсутствует. Исправление было внесено в версии Langflow 1.9.1. Угадать случайный UUID (122 бита) невозможно, поэтому эксплуатация требует предварительного получения списка существующих идентификаторов. Как показывают данные телеметрии Sysdig, оператор именно так и поступил: он запросил конечную точку /api/v1/flows/, получил перечень UUID, а затем подставил один из них в POST-запрос к /api/v1/responses с параметром input: "leak api keys". Цель - заставить чужой рабочий процесс, содержащий встроенные учётные данные, раскрыть ключи доступа.
В отличие от IDOR, CVE-2026-33017 представляет собой неаутентифицированное удалённое выполнение кода (RCE). Она была внесена в перечень CISA KEV 25 марта 2026 года, и уже через 20 часов после публикации началось её массовое применение. Под атаку попали около 7000 серверов. Злоумышленники похищали ключи AWS, файлы .env и .db, разворачивали вредоносных NATS-воркеров. Сценарий атаки типичен: загрузчик и сбор учётных данных.
Сравнительный анализ эксплуатации обеих уязвимостей, проведённый Sysdig, выявил парадокс: при равных высоких баллах CVSS атакующие сосредоточили усилия именно на RCE (CVSS 9,3), тогда как IDOR (CVSS 9,9) использовали лишь как дополнительный приём. Причина - в разнице усилий, необходимых для реализации атаки. RCE не требует аутентификации и применима к любым открытым в интернете серверам. IDOR же требует авторизации, знания идентификатора потока жертвы и - что важнее - актуальна только в многопользовательской среде, где RCE ограничена песочницей одного арендатора. В таких условиях IDOR позволяет пересечь границу арендатора на уровне приложения легитимным путём, оставаясь незаметным. Однако для большинства злоумышленников выгода от эксплуатации IDOR не оправдывает дополнительных затрат.
Наблюдаемый оператор (IP 45.207.216.55) действовал по фиксированному алгоритму: проверка доступности, автоматическая аутентификация (auto_login), перечисление потоков (/api/v1/flows/), затем либо RCE волна, либо - всего дважды - IDOR запрос. RCE применялась многократно, в четырёх волнах 25 июня, а также ранее 22 июня. Полезная нагрузка RCE представляла собой команды оболочки для загрузки и выполнения второго этапа (скрипт slt). Признаков интерактивного управления или использования LLM-агентов не обнаружено. TLS-отпечаток (JA4) оставался постоянным, последовательность действий стереотипной, а неудачные попытки доставить C2 повторялись без адаптации.
С точки зрения мотивации оператор преследовал две цели: получение вычислительной мощности скомпрометированного хоста (для ботнета или майнинга) и кражу учётных данных, хранящихся в конфигурациях потоков Langflow. Именно поэтому основное внимание уделялось RCE - она обеспечивала доступ к хосту, а IDOR использовалась только как дополнительный канал для кражи ключей в многопользовательских сценариях.
По мнению экспертов Sysdig, оценка CVSS не отражает частоту практической эксплуатации. Уязвимость с баллом 9,9, требующая авторизации, знания идентификатора объекта и многопользовательской среды, в реальности уступает 9,3-балльной RCE, которая не требует ничего, кроме сетевого доступа. Для большинства организаций приоритетом патчинга должна оставаться именно неаутентифицированная RCE. Однако если Langflow развёрнут в многопользовательском режиме (например, как SaaS-платформа), CVE-2026-55255 представляет серьёзную угрозу, так как RCE изолирована, а IDOR обходит эту изоляцию на уровне приложения. Отдельного внимания заслуживают конечные точки, раскрывающие идентификаторы объектов - без них IDOR нереализуема, поэтому такие интерфейсы следует рассматривать как часть атакующей поверхности.
Аналитики Sysdig в своём отчёте подчеркивают: сжатие сроков между публикацией уязвимости и её эксплуатацией, а также автоматизация атак требуют от команд безопасности ускорения установки обновлений и внедрения механизмов обнаружения на уровне выполнения.
Индикаторы компрометации
IPv4
- 45.207.216.55
URL
- http://45.207.216.55:8084/slt