Ameaçadores estão explorando ativamente a vulnerabilidade CVE-2026-33017, com pontuação CVSS 9.8 no framework Langflow, para comprometer servidores de IA expostos na internet e implantar um minerador de Monero modificado. A campanha, documentada pela Trend Micro, elimina processos de mineradores rivais e se espalha lateralmente por chaves SSH, marcando uma mudança nas táticas de entrega de cryptominers.
Resumo: O CVE-2026-33017 no Langflow permite execução remota de código sem autenticação via endpoint /api/v1/build_public_tmp. A falha, corrigida na versão 1.9.0, foi adicionada ao catálogo KEV da CISA. O malware “lambsys” desabilita defesas, mata mineradores concorrentes e instala XMRig personalizado com persistência via cron.
A falha CVE-2026-33017
O Langflow é um framework Python de código aberto para construir fluxos de trabalho com grandes modelos de linguagem (LLMs) como grafos visuais. A vulnerabilidade reside no endpoint POST /api/v1/build_public_tmp/{flow_id}/flow, projetado para executar fluxos públicos sem login.
O problema crítico: quando o parâmetro opcional “data” é incluído na requisição, o endpoint aceita código Python controlado pelo atacante e o passa diretamente para exec(), sem sandbox. O agravante é que o Langflow é distribuído com AUTO_LOGIN habilitado por padrão, permitindo que qualquer visitante sem autenticação obtenha um token de superusuário e crie um fluxo público sob demanda.
Todas as versões até 1.8.2 são afetadas. A correção está disponível na versão 1.9.0.research.jfrog+5. A inclusão da falha no catálogo KEV da CISA indica que a exploração foi confirmada no mundo real, e órgãos do governo federal dos EUA têm prazo obrigatório para aplicar a correção.
A gravidade da vulnerabilidade é amplificada pela arquitetura do próprio Langflow. Ao permitir que usuários não autenticados criem e executem fluxos públicos, o sistema remove uma camada fundamental de controle de acesso. O endpoint afetado foi projetado para facilitar demonstrações rápidas de fluxos de IA, mas a ausência de validação de entrada e de sandbox transformou essa funcionalidade em um vetor de execução de código irrestrito.
Escopo da ameaça
A campanha representa uma evolução significativa nas táticas de distribuição de cryptominers. Tradicionalmente, ameaçadores focavam em APIs Docker mal configuradas ou ataques de força bruta contra credenciais SSH. Ao mirar infraestrutura de IA — um ecossistema em rápida expansão com pouca maturidade de segurança — os atacantes encontraram um alvo com grande superfície de ataque e poucos controles de defesa.
Instâncias do Langflow expostas na internet podem ser encontradas via motores de busca como Shodan ou Censys. Muitas organizações implantaram o framework sem restrições de rede adequadas, especialmente em ambientes de desenvolvimento e prototipagem, onde a pressão por velocidade de entrega tende a prevalecer sobre boas práticas de segurança.
Cadeia de ataque detalhada
- Reconhecimento: O atacante envia dez requisições HTTP em cinco segundos, rotacionando user-agents para sondar endpoints como /health, /api/v1/version e /manifest.json.
- Acesso inicial: Uma requisição POST maliciosa injeta código Python que executa um comando curl para baixar o script dropper (isp.sh) de um servidor C2.
- Dropper (isp.sh): Cria diretório oculto em /var/tmp/.xlamb/, baixa o binário lambsys e ativa um worm de reutilização de chaves SSH que enumera known_hosts e chaves privadas para se espalhar lateralmente.
- Lambsys.elf: Binário Go empacotado com UPX (~296 KB) que mata 39 processos de mineradores rivais (Kinsing, WatchDog, Rocke, Outlaw), desabilita AppArmor, SELinux, iptables e UFW, e apaga logs.
- Persistência: Cron job a cada 5 minutos e loop bash (init_rmount) a cada 60 segundos rebaixam lambsys se o processo for morto. Diretórios /var/tmp e /tmp são travados com chattr +iua.
- Mineração: Um XMRig personalizado chamado “procq” é extraído para diretório oculto e conecta-se a pool Monero via TCP/3333 com user-agent falsificado.
Indicadores de comprometimento
A tabela abaixo lista os principais indicadores de comprometimento identificados pela Trend Micro:
| Indicador | Tipo | Detalhe |
|---|---|---|
| 83.142.209.214 | IP / C2 | Servidor primário de C2 e staging de payloads |
| /var/tmp/.xlamb/ | Diretório | Diretório de persistência do malware |
| lambsys.elf | Arquivo (SHA-256) | 71af8bd9b8019b7e5f460ce4c5c14ff77… |
| procq | Arquivo (SHA-256) | XMRig modificado — ddde47bf00324075c7eeb0… |
| TCP 3333, 4444, 5555 | Portas | Portas de pool de mineração monitoradas |
| SystemMonitor/6.25.0 | User-Agent | UA falsificado usado pelo XMRig |
Beacons C2 são enviados via POST para /status.php a cada ~128 segundos sobre porta HTTP 80.
Como se proteger
Administradores de sistemas que utilizam Langflow devem:
- Atualizar imediatamente: Fazer upgrade para Langflow versão 1.9.0 ou superior. A falha foi adicionada ao catálogo KEV da CISA, o que significa que órgãos governamentais dos EUA têm prazo obrigatório para correção.
- Desativar AUTO_LOGIN: Desabilitar o modo AUTO_LOGIN no arquivo de configuração e exigir autenticação para todos os endpoints da API.
- Não expor à internet: Instâncias do Langflow não devem ser acessíveis diretamente pela internet sem VPN, autenticação multifator ou reverse proxy com WAF.
- Verificar indicadores: Buscar o diretório /var/tmp/.xlamb/ e processos lambsys nos servidores. Verificar conexões de saída para 83.142.209.214.
- Rotacionar chaves SSH: Se houver suspeita de comprometimento, rotacionar todas as chaves SSH e auditar arquivos known_hosts em estações de trabalho administrativas.
Fontes
Trend Micro — From Langflow to Monero: Inside CVE-2026-33017 Cryptominer
GBHackers — Langflow RCE Vulnerability Exploited to Deploy Monero Cryptominer
SecurityOnline — Langflow Cryptominer Malware Exploits CVE-2026-33017
Leia também: Vulnerabilidade no Langflow permite RCE sem autenticação | Navegador Hola é comprometido para minerar criptomoedas