CISA предупреждает об уязвимостях в Langflow и Trivy после быстрой эксплуатации

Агентство США по кибербезопасности и защите инфраструктуры (CISA) включило две новые уязвимости в свой каталог известных эксплуатируемых уязвимостей:

• CVE-2026-33017, недавно раскрытая уязвимость внедрения кода в Langflow, фреймворк с открытым исходным кодом для создания ИИ-агентов и рабочих процессов, и
• CVE-2026-33634, уязвимость, связанная с внедрением вредоносного кода в сканер безопасности Trivy компании Aqua Security.

Их добавление в каталог означает, что федеральные гражданские агентства США обязаны устранить эти недостатки в своих сетях к 8 и 9 апреля соответственно.

Об уязвимости CVE-2026-33017

CVE-2026-33017 — это критическая уязвимость, возникшая из-за нескольких недостатков безопасности, и она затрагивает Langflow версий 1.8.2 и ранее. Она может позволить неаутентифицированным злоумышленникам удалённо выполнять код на экземпляре Langflow через общедоступную конечную точку сборки потока.

Очень подробное описание проблемы безопасности для CVE-2026-33017 было широко опубликовано на GitHub 17 марта 2026 года и, по-видимому, содержало достаточно информации для злоумышленников, чтобы разработать эксплойт и начать его использовать.

«В течение 20 часов после публикации описания группа исследования угроз Sysdig (TRT) зафиксировала первые попытки эксплуатации в реальных условиях», — сообщила компания по облачной безопасности.

«На тот момент не существовало публичного подтверждающего концепцию кода. Злоумышленники создали рабочие эксплойты непосредственно на основе описания в рекомендациях и начали сканировать интернет в поисках уязвимых экземпляров. Похищенная информация включала ключи и учётные данные, которые предоставляли доступ к подключённым базам данных и потенциально могли привести к компрометации цепочки поставок программного обеспечения».

Это событие служит очередным подтверждением сокращающегося промежутка между «публикацией рекомендаций» и «активной эксплуатацией», отметили исследователи Sysdig.

«Сокращение сроков эксплуатации с нескольких месяцев до оружия в тот же день представляет собой структурный сдвиг в том, как сегодня эксплуатируются уязвимости. Организации, которые полагаются на запланированные циклы исправлений для устранения критических уязвимостей, работают по графику, который злоумышленники уже обогнали. Обнаружение угроз во время выполнения, сегментация сети и возможности быстрого реагирования необходимы для сокращения разрыва между раскрытием и устранением уязвимости».

Следует отметить, что Авирал Шривастава, первооткрыватель CVE-2026-33017, обнаружил этот недостаток, изучая, как разработчики Langflow исправили CVE-2025–3248, ранее эксплуатировавшуюся уязвимостью в той же кодовой базе.

Это позволило ему выявить ту же категорию уязвимости, но на другой конечной точке. Следовательно, также возможно (хотя и менее вероятно), что злоумышленники действовали по схожей схеме.

О CVE-2026-33634

Идентификатор CVE-2026-33634 был назначен, чтобы специалисты по безопасности могли отслеживать последствия компрометации цепочки поставок Trivy.

Эта компрометация, которую приписывают группе TeamPCP, произошла 19 марта 2026 года и позволила атакующим:

• Опубликовать вредоносный выпуск Trivy версии 0.69.4
• Принудительно обновить теги версий в репозитории 'aquasecurity/trivy-action' до вредоносного ПО, похищающего учетные данные
• Заменить все теги в репозитории 'aquasecurity/setup-trivy' на вредоносные коммиты
• Распространить вредоносные образы Trivy на Docker Hub.

Вероятно, это также привело к атаке на цепочку поставок LiteLLM, в результате чего на PyPI были опубликованы скомпрометированные пакеты LiteLLM.

Компания Aqua Security описала инцидент и дала рекомендации к действию для пострадавших, а также обещала предоставить существенное обновление по результатам расследования в ближайшие дни.

BerriAI, создатели LiteLLM, приостановили выпуск новых пакетов LiteLLM и привлекли компанию Mandiant для проведения полной проверки безопасности цепочки поставок. По данным исследователей из Wiz, LiteLLM присутствует в 36% облачных сред, которые они отслеживают, «что указывает на потенциал широкомасштабного воздействия».

Обе организации предоставили инструкции по устранению последствий для затронутых пользователей и разработчиков.

В публичном предупреждении Федеральное ведомство по информационной безопасности Германии (BSI) сообщило, что им было зафиксировано несколько компрометаций, последовавших за атакой на Trivy и связанных с ней. «Согласно текущей информации, считается, что данные не были похищены», — заявили в ведомстве.

Подпишитесь на нашу экстренную e-mail рассылку новостей, чтобы никогда не пропускать последние утечки данных, уязвимости и киберугрозы. Подписаться можно здесь!