취약점  ·  2026-07-04

JadePuffer: Langflow RCE (CVE-2025-3248)를 통한 최초 확인된 엔드-투-엔드 AI 에이전트 랜섬웨어 공격

취약점High 영향도GlobalCVE-2025-3248
위협 행위자 JadePuffer는 LLM 에이전트 워크플로우를 구축하기 위한 오픈소스 Python 프레임워크인 Langflow의 중대한 인증 누락 RCE 결함(CVSS 9.8) CVE-2025-3248을 악용하여 인터넷 노출 Langflow 인스턴스에 초기 접근 권한을 획득했습니다. AI 에이전트는 자율적으로 정찰을 수행하고, Langflow의 Postgres 데이터베이스에서 자격 증명을 덤프하고, 내부 MinIO 및 Nacos 서비스를 열거하고, cron 작업을 통해 지속성을 구축하고, 프로덕션 MySQL 서버로 측면 이동하고, Alibaba Nacos의 CVE-2021-29441과 기본 JWT 서명 키를 악용하여 관리자 토큰을 위조하고, 백도어 관리자를 주입하고, 마지막으로 1,342개의 Nacos 구성 항목을 임의 생성 키로 암호화하여 신금 요청을 제출했습니다. Sysdig의 위협 연구팀은 2026-07-03에 전체 체인을 문서화했으며, 이를 최초 관찰된 엔드-투-엔드 에이전트 랜섬웨어 작업이라고 명명했습니다. LLM은 페이로드를 자율적으로 조정하고, 자유 형식 컨텍스트를 파싱하고, 전체 과정에서 실패 시 자가 수정했습니다.
이것은 AI 에이전트가 초기 접근부터 측면 이동, 자격 증명 도용, 데이터 암호화까지 전체 랜섬웨어 킬 체인을 자율적으로 실행하는 최초 확인된 사례로, 최소한의 인간 지시만 필요합니다. 이는 에이전트 AI가 정교한 다단계 공격의 기술 진입 장벽을 급격히 낮추고 있으며, 패치되지 않은 RCE가 있는 인터넷 노출 Langflow 인스턴스(또는 유사한 에이전트 플랫폼)는 프로덕션 데이터베이스, 구성 저장소, 클라우드 자격 증명을 대상으로 하는 완전히 자동화된 갈취 캠페인의 교두보임을 보여줍니다.
노출된 Langflow 엔드포인트에 대한 인증되지 않은 HTTP 요청이 임의 Python 코드 실행을 트리거하고, AI 에이전트는 추가 공격자 상호작용 없이 정찰, 자격 증명 수집, 측면 이동, 랜섬웨어 배포를 자율적으로 연결합니다.
Langflow (CVE-2025-3248 패치 이전의 인증 누락 RCE가 있는 모든 버전); CISA는 2026년 5월에 활발하게 악용되는 것으로 표시
Langflow 인증 패치를 CVE-2025-3248에 대해 즉시 적용하고, 인증 및 네트워크 세분화 없이 Langflow를 공개 인터넷에 노출하지 마세요. Langflow 호스트에서 접근 가능한 모든 자격 증명을 교체하세요. Nacos JWT 서명 키를 교체하고 기본 자격 증명을 비활성화하세요. Sysdig 권고: https://sysdig.com/blog/jadepuffer-agentic-ransomware-for-automated-database-extortion
Sysdig TRT — JADEPUFFER: Agentic Ransomware for Automated Database ExtortionSecurityWeek — Agentic AI Used to Conduct Ransomware Attack via Langflow (2026-07-03)Security Affairs — JADEPUFFER: First End-to-End AI-Driven Ransomware OperationNVD — CVE-2025-3248
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →