n8n İş Akışı Platformunda Kritik CVE-2025-68613 RCE Açığı ve Riskleri

Anasayfa » n8n İş Akışı Platformunda Kritik CVE-2025-68613 RCE Açığı ve Riskleri
Olay Müdahale, Siber Güvenlik, Zafiyetler
Aralık 25, 2025Aralık 25, 2025Tarafından Cybernews.TR
0
n8n İş Akışı Platformunda Kritik CVE-2025-68613 RCE Açığı ve Riskleri

Saldırının Genel Çerçevesi

n8n, iş akışı otomasyonunda yaygın kullanılan bir platformdur ve haftalık 57.000 civarında npm indirmesi bulunmaktadır. Ancak 0.211.0 ile 1.120.4 sürümleri arasında yer alan versiyonlarda, kimlik doğrulaması yapılmış kullanıcıların iş akışı yapılandırmaları sırasında sağladığı ifadelerin, çalışma zamanından yeterince izole edilmemesi nedeniyle kritik bir RCE açığı (CVE-2025-68613) ortaya çıkmıştır. Bu zafiyet, saldırganların n8n sürecinin ayrıcalıklarıyla rastgele kod çalıştırmasına olanak tanımaktadır.

Başarılı bir istismar, etkilenmiş sistem üzerinde tam kontrol, hassas verilere yetkisiz erişim, iş akışlarının değiştirilmesi ve sistem seviyesinde işlem yürütülmesi gibi ciddi sonuçlar doğurabilir. 22 Aralık 2025 itibarıyla dünya genelinde 103.476 potansiyel savunmasız n8n örneği tespit edilmiştir; bu örneklerin çoğu ABD, Almanya, Fransa, Brezilya ve Singapur’da bulunmaktadır.

Hangi Sistemler Risk Altında?

Bu zafiyet, özellikle kimlik doğrulaması yapılmış kullanıcıların iş akışı oluşturup düzenleyebildiği kurumsal ve bulut tabanlı ortamları hedef almaktadır. SaaS sağlayıcıları, finans kurumları ve bulut barındırma firmaları gibi kritik altyapılar risk altındadır. Ayrıca, konteynerleştirilmiş n8n dağıtımlarında, konteynerlerin rastgele SSH portları ve yetersiz ağ segmentasyonu gibi zayıflıklar saldırı yüzeyini genişletebilir.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan araçlar ve yöntemler: Kimlik doğrulaması yapılmış kullanıcı aracılığıyla iş akışı ifadelerinin çalışma zamanında izole edilmeden yürütülmesi.
  • Hedef sektörler ve bölgeler: Küresel ölçekte, özellikle ABD, Almanya, Fransa, Brezilya ve Singapur.
  • Zafiyet kodu: CVE-2025-68613 (NVD Detayı).
  • Saldırı zinciri: 1) Kimlik doğrulaması yapılmış kullanıcı erişimi, 2) İş akışı ifadelerinin kötüye kullanımı, 3) Rastgele kod çalıştırma ve sistem kontrolü.
  • Temel savunma: Güncelleme uygulamak, iş akışı oluşturma/düzenleme izinlerini sınırlandırmak, n8n’yi kısıtlanmış işletim sistemi ayrıcalıkları ve ağ segmentasyonu ile dağıtmak.

Siber Güvenlik Ekipleri İçin Öneriler

  • Etkin bir EDR çözümü ile n8n süreçlerini ve iş akışı aktivitelerini izleyin.
  • SIEM sistemlerinde iş akışı yapılandırma ve yürütme loglarını detaylı şekilde toplayın ve anomali tespiti yapın.
  • Kimlik ve erişim yönetimi (IAM) politikalarını gözden geçirerek iş akışı oluşturma izinlerini sadece güvenilir kullanıcılara verin.
  • Zero Trust prensipleri doğrultusunda n8n ortamlarını mikro segmentlere ayırın ve ağ erişimlerini kısıtlayın.
  • Yama yönetimini hızlandırarak 1.120.4 ve üzeri sürümlere geçiş yapın.
  • Olay müdahale (incident response) planlarını güncelleyerek bu zafiyet üzerinden gelebilecek saldırılara hazırlıklı olun.
  • Bulut güvenliği politikalarını güçlendirerek konteyner ve sanal makinelerdeki yetkilendirmeleri sınırlandırın.
  • Firewall ve IDS/IPS kurallarında n8n iş akışı protokollerine yönelik özel filtrelemeler uygulayın.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda, yetkili bir çalışan kimlik doğrulaması yaparak n8n üzerinde yeni iş akışları oluşturabilir. Eğer bu kullanıcı kötü niyetliyse veya hesabı ele geçirilmişse, iş akışı ifadelerini kullanarak sistemde rastgele kod çalıştırabilir. Bu durum, müşteri verilerinin sızdırılmasına, finansal işlemlerin manipüle edilmesine ve altyapı kaynaklarının kötüye kullanılmasına yol açabilir. Bu nedenle, iş akışı izinlerinin sıkı denetimi ve ortamın segmentasyonu kritik önem taşır.

, , , , , , ,