CISA, Langflow Kimlik Doğrulama Açığının Giderilmesi İçin Federal Ajanslara Süre Verdi Yazılım

CISA, Langflow Kimlik Doğrulama Açığının Giderilmesi İçin Federal Ajanslara Süre Verdi

CISA, Langflow AI çerçevesindeki aktif olarak kullanılan bir güvenlik açığı için federal ajanslara Cuma gününe kadar yama yapma emri verdi.

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal ajanslara Cuma gününe kadar, Langflow görsel AI aracı geliştirme çerçevesinde aktif olarak kullanılan bir güvenlik açığını yamamaları için süre verdi. Langflow, AI geliştirme ekosisteminde popüler bir araç olup, sürükle-bırak arayüzü ile düğümleri yürütülebilir iş hatlarına bağlamayı ve bir REST API aracılığıyla programlı olarak çalıştırmayı sağlar. Bu özellikleri, onu siber saldırganlar için cazip bir hedef haline getiriyor.

CVE-2026-55255 olarak izlenen bu güvenlik açığı, bir Insecure Direct Object Reference (IDOR) türüdür. Kimliği doğrulanmış tehdit aktörlerinin, kurbanın UUID'sini (flow_id) içeren kötü amaçlı bir isteği /api/v1/responses uç noktasına göndererek diğer kullanıcıların iş akışlarına erişmesine olanak tanır. Başarılı bir istismar, saldırganların kurbanın iş akışları tarafından işlenen hassas verilere erişmesine ve kaynaklarını tüketmesine de olanak tanır.

Sysdig'in Tehdit Araştırma Ekibi (TRT), CVE-2026-55255'in vahşi ortamda istismarını ilk olarak 25 Haziran'da gözlemledi. Araştırmacılar, saldırganın amacının 'kod yürütme ve ikinci aşama implant teslimatı (loader/dropper sınıfı)' olduğunu belirtti. 'Gözlemlediklerimize göre, tehdit aktörünün fırsatçı ve finansal olarak motive olduğu açık. Kısacası, amacın, tehlikeye atılmış bir AI sunucusunun iki güvenilir getirisi olan hesaplama gücü (botnet/implant) ve kimlik bilgileri (LLM/bulut anahtarları) yoluyla para olduğu anlaşılıyor. Her iki hedef de ucuz, tekrarlanabilir ve düşük karmaşıklıktaki araçlarla takip edildi.'

Nasıl Önlem Alınmalı?

Salı günü CISA, CVE-2026-55255 yetkilendirme atlatma açığını Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu'na (KEV) ekledi ve ABD Federal Sivil Yürütme Organı (FCEB) kurumlarına, Bağlayıcı Operasyonel Direktif (BOD) 26-04 uyarınca cihazlarını Cuma gününe kadar güvence altına almalarını emretti. CISA, 'Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık kullanılan bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur. Paydaşlar, her bir varlığın internet maruziyetini değerlendirmekten ve BOD 26-04 yama yönergelerine uyumu sağlamaktan sorumludur.' uyarısında bulundu.

CISA, Mayıs 2025'te Langflow'da bir kimlik doğrulama eksikliği güvenlik sorununu (CVE-2025-3248) ve Mart 2026'da bir kod enjeksiyonu güvenlik açığını (CVE-2026-33017) da KEV kataloğuna eklemişti. Salı günü, siber güvenlik ajansı, bulut güvenlik şirketi Sysdig'in JadePuffer fidye yazılımı operasyonunun bu açığı Langflow'un PostgreSQL veritabanını boşaltmak için kullandığını bildirmesinin ardından, ilk açığın fidye yazılımı çeteleri tarafından istismar edildiğini belirtti.

Haziran ayından bu yana, saldırganlar VulnCheck güvenlik araştırmacısı Caitlin Condon'a göre, yüksek önem derecesine sahip bir Langflow yol geçişi güvenlik açığını (CVE-2026-5027) açıkta kalan sunucularda rastgele dosyalar yazmak için aktif olarak kullanıyor. Bu gelişmeler, Langflow kullanıcılarının sistemlerini güncellemeleri ve gerekli yamaları uygulamaları için acil bir ihtiyaç olduğunu gösteriyor. CISA'nın bu hamlesi, federal kurumlar ve genel olarak tüm kullanıcılar için siber güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha vurguluyor.

Kaynak: bleepingcomputer.com

Paylaş: