SchwachstellenHackerangriffeKI-Sicherheit

Langflow-Sicherheitslücke: Angreifer schlagen 20 Stunden nach Offenlegung zu

Langflow-Sicherheitslücke: Angreifer schlagen 20 Stunden nach Offenlegung zu
Zusammenfassung

Eine kritische Sicherheitslücke im beliebten Open-Source-Framework Langflow ermöglicht unauthentifizierten Fernzugriff auf Systeme und wird bereits aktiv ausgenutzt. Das Framework, das für die Erstellung und Bereitstellung von KI-Agenten und Workflows mit über 145.000 GitHub-Sternen bekannt ist, war Anfang März von der Schwachstelle CVE-2026-33017 (CVSS-Score 9,3) betroffen. Der Bug ermöglicht es Angreifern, über einen ungeschützten Endpoint Python-Code in Flow-Definitionen einzuschleusen und diesen ohne Sandbox-Umgebung auszuführen – alles mit nur einer HTTP-Anfrage. Bereits 20 Stunden nach der öffentlichen Disclosure begannen Cyberkriminelle, die Lücke auszunutzen, wobei Sicherheitsforscher von Sysdig drei Exploitations-Phasen dokumentierten: Massenscan, aktive Reconnaissance und Datenabfluss. Die Angreifer zielten auf Datenbank-Zugangsdaten ab und deuteten auf geplante Supply-Chain-Angriffe hin. Für deutsche Entwickler, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere wenn Langflow in kritischen Infrastrukturen oder für KI-Anwendungen mit Zugriff auf sensible Daten eingesetzt wird. Eine schnelle Aktualisierung auf Version 1.8.1 ist dringend erforderlich.

Das Sicherheitsunternehmen Sysdig dokumentierte einen alarmierenden Angriffsverlauf, der sich in drei klar definierte Phasen gliederte. Bereits innerhalb von 48 Stunden nach der Offenlegung wurden Exploitationsversuche von sechs verschiedenen IP-Adressen registriert.

Die Schwachstelle im Detail

Die als CVE-2026-33017 katalogisierte Lücke betrifft einen POST-Endpunkt, der die Erstellung öffentlicher Workflows ohne Authentifizierung ermöglicht. Das zentrale Problem: Wenn Angreifer den optionalen Parameter ‘data’ bereitstellen, nutzt der Endpoint die vom Angreifer kontrollierten Daten statt jener aus der Datenbank. Diese Daten können Python-Code in Form von Node-Definitionen enthalten, der ohne Sandboxing ausgeführt wird. Eine einzige HTTP-Anfrage reicht aus, um die Schwachstelle zu triggern.

Besonders kritisch ist, dass die öffentliche Sicherheitsmitteilung ausreichend technische Details offenbarte, um Angreifer in die Lage zu versetzen, funktionierende Exploits eigenständig zu entwickeln – ohne verfügbaren öffentlichen Proof-of-Concept-Code.

Organisierte Exploitationskampagne

Sysdig identifizierte drei charakteristische Angriffsphasen: In der ersten Phase führten vier IP-Adressen mit identischen Payloads Massenschans durch – wahrscheinlich mithilfe automatisierter Scanning-Tools. Die zweite Phase zeigte aktive Aufklärung mit vorab bereitgestellter Infrastruktur zur Payload-Deployment nach Validierung. In der dritten Phase folgte Datenabfluss von einer weiteren IP-Adresse.

Die Custom-Scripts aus Phase zwei und drei sendeten Daten an denselben Command-and-Control-Server. Dies deutet darauf hin, dass ein einzelner Operator über mehrere Proxies oder VPS-Knoten arbeitet – oder dass Angreifer ein gemeinsames Exploitations-Toolkit nutzen.

Strategische Zielsetzung

Das Ziel der Angreifer war klar: Sie erbeuteten Schlüssel und Zugangsdaten für verbundene Datenbanken. Dies ist ein klassisches Muster für Angriffsszenarien auf Supply Chains, bei denen Angreifer initiale Kompromittierungen nutzen, um in verbundene Systeme tiefer einzudringen.

Was Nutzer tun sollten

Administratoren müssen sofort auf Langflow-Version 1.8.1 oder höher upgraden, die am 17. März veröffentlicht wurde. Parallel sollten Logs auf verdächtige Aktivitäten durchsucht und Datenbank-Zugangsdaten überprüft werden. Für Organisationen mit öffentlichen Langflow-Instanzen ist eine sofortige Sicherheitsbewertung erforderlich.

Ähnliche Artikel