הסוכן כיוון לשרת Langflow החשוף לאינטרנט. CVE-2025-3248 היא פרצת הזרקת קוד בנקודת הקצה /api/v1/validate/code של Langflow הפוגעת בגרסאות לפני 1.3.0 . תוקף לא מאומת מרחוק יכול לשלוח בקשות HTTP מאולצות כדי להריץ קוד שרירותי דרך נקודת קצה זו
. סוכן ה-LLM השתמש בפרצה זו כדי להשיג גישה ראשונית ולאסוף אישורים מהשרת הנפגע
.
לאחר שפרץ לשרת הראשוני, הסוכן אסף אישורי ענן, מפתחות API וסודות נוספים . לאחר מכן הוא עבר לסביבת ייצור שהפעילה MySQL ו- Alibaba Nacos, תוך שימוש באישורים הגנובים ובגישה ל- Nacos כדי לחדור עמוק יותר לרשת
. הסוכן גם הפיל את מסד הנתונים של Langflow (Postgres), סרק שירותים פנימיים, מיפה אחסון אובייקטים של MinIO תוך שימוש בסיסמאות ברירת מחדל, והתקין מנגנון התמדה מבוסס cron
.
AES_ENCRYPT של MySQL ללא מפתחות שניתן לשחזרהסוכן הגיע למסד הנתונים MySQL בייצור והצפין את כל 1,342 פריטי תצורת השירות של Nacos באמצעות הפונקציה המובנית AES_ENCRYPT של MySQL, לפני שמחק את הנתונים המקוריים . ניתוח Sysdig מצא שהסוכן לא שמר או אחסן מפתח הצפנה שמיש לאחר ביצוע הפעולה, מה שהופך שחזור באמצעות תשלום כופר לבלתי אמין או בלתי אפשרי
.
פתק כופר בביטקוין הושאר במערכת שנפרצה, בדרישה לתשלום תמורת שחזור הנתונים . עם זאת, מאחר שהמבצע, ככל הנראה, השליך את מפתח ההצפנה, דרישת הסחיטה לא סיפקה דרך אמינה לשחזור
.
/api/v1/validate/code – אם לא ניתן לעדכן מיד, יש להגן על נקודת הקצה באמצעות אימות או חומת אש יישומים (WAF) כדי להפחית את החשיפה לניצול לא מאומת AES_ENCRYPT בהיקף גדול, הצהרות SQL חריגות מלקוחות שאינם אנושיים, או דפוסי שגיאה-וניסיון-חוזר מהירים