ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая уязвимость в Langflow, старая уязвимость для атак на сетевое оборудование Zyxel, уязвимость повышения привилегий в Linux, атака через GitHub-репозитории и новая вредоносная кампания с использованием поддоменов Cloudflare Tunnel.

1. Критическая уязвимость в Langflow привела к заражению ботнетом Flodrix

Исследователи Trend Micro выявили активную эксплуатацию критической уязвимости CVE-2025-3248 (CVSS: 9.8) в Langflow — популярной платформе для работы с LLM-фреймворками. Уязвимость позволяет без аутентификации удаленно выполнить код через специально сформированный HTTP POST-запрос к /predict. В результате атаки загружается скрипт, разворачивающий вредоносный ботнет Flodrix, который способен проводить распределенные атаки типа «отказ в обслуживании» (DDoS), получать удаленный доступ и устанавливать криптомайнеры и инфостилеры. Атака затрагивает версии до 1.3.0, специалисты Trend Micro рекомендуют установить обновление до последней версии и ограничение внешнего доступа к админ-интерфейсу.

 2. Использование старой уязвимости для атак на сетевое оборудование Zyxel

Сервис GreyNoise зафиксировал массовую активность по эксплуатации уязвимости в сетевом оборудовании Zyxel. Уязвимость с идентификатором CVE-2023-28771 (CVSS: 9.8) была выявлена в 2023 году и позволяет неавторизованному злоумышленнику удаленно выполнять некоторые команды операционной системы, отправляя специально сформированные пакеты на целевое устройство. 16 июня в течение 24 часов было зафиксировано 244 активных источника трафика, использующих UDP-порт 500 для попытки отправки вредоносных IKE-пакетов. Атаки исходили с разнообразных адресов по всему миру, включая крупные облачные хостинги. Несмотря на относительно короткий срок активности,