Loading blog posts...
Loading blog posts...
Laden...

De meeste ransomware-beveiligingen gaan ervan uit dat een menselijke operator de aanval aanstuurt. De rapportage van Sysdig over JADEPUFFER zet die aanname op losse schroeven: een agentic AI zou een volledige ransomware-operatie hebben uitgevoerd na het misbruiken van een aan het internet blootgestelde Langflow-instantie. Deze gids zet uiteen wat beheerders moeten veranderen aan hun architectuur, het beheer van geheimen (secrets), monitoring en incident response om stand te houden tegen inbraken op "machinesnelheid".
| Fase | Wat JADEPUFFER naar verluidt deed | Beveiligingsmaatregel die dit blokkeert |
|---|---|---|
| Initiële toegang | Misbruikte CVE-2025-3248 op publieke Langflow voor ongeauthenticeerde RCE (willekeurige Python-uitvoering) | Publieke blootstelling verwijderen + patchen + WAF-regels |
| Overname host | Voerde code uit op de Langflow-host en startte discovery | EDR met Python-procesherkomst + hardening |
| Diefstal van inloggegevens | Oogstte cloud credentials en LLM-provider secrets uit de AI-app-omgeving | Isolatie van secrets + kortstondige tokens + egress-controles |
| Laterale verplaatsing | Bewoog richting Alibaba Nacos en een MySQL-omgeving | Netwerksegmentatie + service-authenticatie + DB-allowlists |
| Impact | Targeten van databases plus encryptie en afpersing | Immutable back-ups + DB-activiteitsmonitoring + snelle isolatie |
Onderzoekers van Sysdig beschrijven dit als de eerste geobserveerde "volledig agentic" ransomware-keten: van inbraak tot impact met minimale of zelfs geen interactieve menselijke tussenkomst. De berichtgeving wijst op initiële toegang via een internet-facing Langflow-uitrol, waarbij misbruik van CVE-2025-3248 het startpunt vormde. De aanval bewoog zich vervolgens richting Nacos en MySQL via bekende zwakheden, waaronder een oudere methode om authenticatie te omzeilen die in sommige rapporten als "uit 2021" wordt omschreven. U vindt de volledige verslaglegging bij The Register en SC World.
Warning
[!WARNING] Dit gaat niet over "AI die malware schreef". De verschuiving zit in autonomie en snelheid: zodra er sprake is van code-executie, kan een agent discovery, het jagen op credentials en laterale verplaatsing sneller aaneenschakelen dan waar de meeste SOC-draaiboeken op zijn berekend.
bash## 1) Identificeer internetblootstelling (voer uit vanaf een vertrouwde admin-machine) curl -s https://api.ipify.org && echo # 2) Zoek naar actieve Langflow-poorten op de host sudo ss -lntp | grep -Ei 'langflow|:7860|:3000|:8000' || true # 3) Controleer of een reverse proxy de dienst publiceert sudo nginx -T 2>/dev/null | grep -Ei 'server_name|proxy_pass|langflow' || true sudo caddy list-modules 2>/dev/null | head -n 20 || true # 4) Snapshot verdachte Python-processen (snel IR-signaal) ps auxww | grep -E 'python|langflow' | grep -v grep
Deze commando's geven snel antwoord op één vraag: kan een aanvaller Langflow bereiken en voert Python acties uit op een onverwachte manier? Het poortnummer zelf is het probleem niet. Waar het om gaat, is of Langflow bereikbaar is vanaf het publieke internet en of de host fungeert als een centraal punt voor secrets zoals cloud-keys, tokens van modelproviders of interne API-sleutels.
Als de service publiek toegankelijk en niet gepatcht is, behandel dit dan als een RCE in een web-app. Ga uit van een gecompromitteerde host, roteer inloggegevens en start direct met de inperking (containment).
Important
[!IMPORTANT] Als u misbruik vermoedt, roteer dan eerst de inloggegevens voordat u begint met de "schoonmaak". Agents komen vaak terug met gestolen sleutels, zelfs nadat de oorspronkelijke CVE is gepatcht.
Langflow is niet zomaar een "AI-interface". Bij de meeste teams bevindt het zich precies in het midden van modelprovider-sleutels, vector-database credentials, interne HTTP-tools en soms zelfs cloud-admin tokens. Dat verandert een enkele blootgestelde node in een enorme verzamelplaats voor inloggegevens.
Agentic ransomware is dol op dit soort knooppunten omdat ze het aantal benodigde stappen voor laterale verplaatsing verminderen. In plaats van vijf verschillende diensten te kraken, raakt de aanvaller er één en leest vervolgens de omgeving, configuratiebestanden, logs en workflow-definities uit om alles te verzamelen wat nodig is om verder te komen.
Het echte probleem is een veelvoorkomende fout: AI-workflowhosts behandelen als "dev-tools" en daardoor productiecontroles overslaan. In dit incidentpatroon wordt die "dev-tool" juist de toegangspoort tot de productieomgeving.
Voor teams die complexere agentic systemen bouwen, vertoont dit overlap met risico's in multi-agent ontwerpen, zoals tool-permissies en gedeeld geheugen. Voor een diepere duik in deze patronen, zie Multi-Agent AI Teams in 2026: Win or Fail?.
Rapporten beschrijven CVE-2025-3248 als een ontbrekende authenticatiecontrole die ongeauthenticeerde remote code execution in Langflow mogelijk maakt. In feite betekent dit willekeurige Python-uitvoering op de host. De aanvaller heeft dus niet eens geldige inloggegevens nodig om zijn code te laten draaien.
Zodra die Python-code draait, kan een aanvaller env-variabelen en het procesgeheugen uitlezen voor API-sleutels, cloud-metadata-endpoints aanroepen om rol-credentials op te halen, interne netwerken scannen vanaf een vertrouwde positie en persistentie instellen via cron-jobs of pogingen tot container-escapes.
Publieke proof-of-concept (PoC) verwijzingen zijn al te vinden in een GitHub-archief: intelseclab/poc-archive CVE-2025-3248 Langflow unauth RCE. Zelfs als uw team de PoC nooit uitvoert, moet u de beschikbaarheid ervan zien als een signaal dat scannen en misbruik zeer snel gemeengoed zullen worden.
yaml# Reverse proxy patroon: vereis SSO voordat Langflow bereikbaar is # Dit is een conceptuele checklist, geen kant-en-klare configuratie. controls: - enforce_sso: true - require_mfa: true - restrict_by_group: "ai-platform-admins" - block_all_public_routes: true - rate_limit: requests_per_minute: 60 - geo_allowlist: ["[UW_LAND]"]
Het doel is simpel: Langflow mag niet bereikbaar zijn voor anonieme gebruikers. "Niet geïndexeerd" is geen beveiligingsmaatregel. Hoewel IP-allowlists helpen, is toegang op basis van identiteit (SSO) wat voorkomt dat een enkele verkeerd geconfigureerde port-forward uitmondt in een groot incident.
Als Langflow bereikbaar moet zijn voor partners, isoleer het dan in een specifiek segment zonder standaardroute naar uw databases. Behandel het als een jump-host met strikte uitgaande regels.
Agentic post-exploitatie is afhankelijk van uitgaande verbindingen om tools te downloaden, verbinding te maken met C2-servers en cloud-API's aan te roepen. Als Langflow alleen de specifieke model-endpoints en interne diensten kan bereiken die het echt nodig heeft, worden de opties voor een agent snel beperkt.
Een praktisch patroon is een egress-allowlist op subnetniveau. Als de AI-workflow api.openai.com of een private gateway nodig heeft, sta dan alleen die toe en blokkeer de rest van het internet.
Als de host langdurige cloud-sleutels bevat, is de "tweede fase" voor de aanvaller vrijwel automatisch. Het is beter om kortstondige credentials te gebruiken via workload identity en modelprovider-sleutels te bewaren in een secrets manager met een strikt leesbeleid.
Voorkom "secret sprawl". Vermijd .env-bestanden in home-directories en houd secrets buiten workflow-JSON-exports, logs of exception traces. Dit is cruciaal voor AI-tooling, omdat connector-configuraties de neiging hebben om in de loop van de tijd ongemerkt inloggegevens te verzamelen.
De rapportage geeft aan dat de aanvaller van Langflow naar Alibaba Nacos bewoog, en vervolgens naar MySQL. Nacos wordt veel gebruikt als control plane voor service discovery en configuratie. Als dit gecompromitteerd wordt, kan het database-endpoints en service-tokens blootleggen.
De belangrijkste les is dat configuratiediensten "privilege multipliers" zijn. Als Nacos database-credentials opslaat, wordt het de perfecte springplank naar de kroonjuwelen van uw data.

Segmenteer op basis van de mogelijke impact (blast radius), niet alleen per team. Plaats AI-tools in het ene segment, de configuratie-omgeving in een apart segment met strikte inkomende regels, en databases in een derde segment met uitsluitend applicatie-allowlists.
Als Langflow direct met MySQL kan communiceren op poort 3306, heeft een aanvaller aan één voet tussen de deur genoeg. Als het alleen een beperkte interne API kan bereiken, moet de aanvaller die ook kraken, wat de kans aanzienlijk vergroot dat hij wordt ontdekt.
MySQL moet ervan uitgaan dat de dreiging al binnen is. Dwing het principe van de minste privileges (least-privilege) af voor elke service en beperk het FILE-privilege. Stel daarnaast alerts in voor het massaal uitlezen van schema's of bulk-schrijfacties die wijzen op encryptie.
Ransomware die zich op databases richt, vertoont meestal een patroon van "veel lezen, dan veel schrijven". Dat is zeer goed detecteerbaar als u een nulmeting heeft van het normale query-volume.
Op een Langflow-host is het bijna nooit normaal gedrag als Python curl, wget, bash of ssh aanroept. Zelfs als sommige workflows externe tools aanroepen, moet die activiteit expliciet en controleerbaar zijn. EDR-regels die python markeren als een ouderproces met ongebruikelijke sub-processen zijn hier zeer effectief.
Agentic aanvallen plunderen vaak credentials nog voordat ze proberen data buit te maken. Detecteer het uitlezen van veelvoorkomende paden voor credential-bestanden of het plotseling opsommen van omgevingsvariabelen door niet-admin contexten. Omdat AI-app-hosts van nature meer secrets bevatten, is telemetrie van bestandstoegang een van uw beste verdedigingssignalen.
Het meest opvallende aan dit incident is de volledige autonomie. Dit betekent dat de tijd tussen discovery en impact minuten is, geen dagen. Uw SOC-draaiboeken moeten triggers bevatten voor "tijdscompressie". Als een initiële exploit wordt gedetecteerd, schaal dan de ernst onmiddellijk op. Wacht niet op signalen van exfiltratie om de host te isoleren.
Isoleer de host of namespace onmiddellijk. Roteer vervolgens elk inloggegeven dat uitgelezen had kunnen worden: cloud-tokens, IAM-sleutels, LLM-provider API-sleutels en database-credentials die in connectors zijn opgeslagen. Inperking is urgent omdat agentic tools niet slapen; ze blijven automatisch proberen verder te dringen.
Focus op welke secrets op de host stonden en met welke interne IP-adressen de host verbinding heeft gemaakt na de exploit. Kijk welke configuratiediensten zijn bevraagd en welke databases nieuwe verbindingen zagen vanuit het Langflow-subnet. Als u egress DNS- en flow-logs bijhoudt, is dit veel eenvoudiger in kaart te brengen.
Tip
[!TIP] Behandel AI-workflow-exports en connector-configuraties als zeer gevoelig. Ze bevatten vaak de endpoints en tokens die voor een aanvaller uw interne netwerk in kaart brengen.
Een sterke aanpak is een split-plane ontwerp. Gebruik een UI-omgeving (Langflow) om grafieken te bewerken, een uitvoeringsomgeving (workers) om tools te draaien met beperkte permissies, en een secrets-omgeving (zoals Vault) om kortstondige tokens uit te geven. Dit voorkomt dat de UI-host een universele runtime wordt met universele geheimen.
Agentic systemen falen veilig wanneer de toegang tot tools beperkt is. Als elke workflow willekeurige HTTP-verzoeken kan doen of willekeurige Python-code kan draaien, is het systeem een speeltuin voor aanvallers. Dwing het gebruik van goedgekeurde connector-lijsten af en hanteer netwerkpolicies per workflow om de actieruimte te verkleinen.
Voor gevoelige prototypes verminderen offline-first opstellingen de mogelijke schade drastisch. Als een workflow niet publiek hoeft te zijn, host deze dan niet publiek. Voor meer over deze afwegingen, zie Local LLMs: The Real AI Revolution? Inside Offline-First AI.
Stripe behield een hoge beschikbaarheid door strikte service-isolatie toe te passen; dit is exact de mentaliteit die nodig is om AI-tooling weg te houden bij databases. Op vergelijkbare wijze gebruiken Netflix en Shopify het principe van de minste privileges en geautomatiseerde inperking om de impact tijdens beveiligingsincidenten te beperken.
Dit zijn niet alleen verhalen over "AI-beveiliging". Het zijn fundamentele infrastructuurpraktijken die essentieel worden zodra agentic aanvallers de menselijke vertraging uit de vergelijking halen.
Begin hier
Inventariseer elke Langflow-uitrol. Bevestig dat er geen enkele aan het internet is blootgesteld door ss -lntp uit te voeren en reverse proxy-configuraties te controleren. Doe dit binnen de komende 30 minuten.
Snelle winst
Patch Langflow-versies die kwetsbaar zijn voor CVE-2025-3248 en voer binnen 24 uur een herimplementatie uit. Verifieer dat de service authenticatie vereist. Roteer binnen 4 uur alle LLM API-sleutels en cloud-credentials die door Langflow-connectors worden gebruikt.
Grondige aanpak
Implementeer binnen 7 dagen egress-allowlisting voor het Langflow-subnet. Sta alleen de vereiste model-endpoints toe. Splits binnen 30 dagen uw UI- en uitvoeringsomgevingen, zodat Langflow geen directe toegang meer heeft tot uw databases.
JADEPUFFER is een waarschuwing over operationele snelheid, niet over sciencefiction-malware. Wanneer Langflow onbeveiligd wordt achtergelaten, kan een aanvaller bekende technieken sneller aaneenschakelen tot een ransomware-incident dan een SOC de triage kan afronden. De verdediging is helder: verwijder publieke blootstelling, patch CVE-2025-3248, isoleer uw AI-tooling en roteer direct uw secrets. Teams die AI-platforms behandelen als serieuze productie-ingangen, zijn degenen die voorkomen dat "agentic" aanvallen veranderen in "automatische" uitval.