24.700’den Fazla n8n Örneğinde Kritik RCE Açığı Aktif İstismar Ediliyor

Anasayfa » 24.700’den Fazla n8n Örneğinde Kritik RCE Açığı Aktif İstismar Ediliyor
Olay Müdahale, Siber Güvenlik, Zafiyetler
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
24.700’den Fazla n8n Örneğinde Kritik RCE Açığı Aktif İstismar Ediliyor

n8n platformunda Aralık 2025’te tespit edilen ve CVE-2025-68613 olarak takip edilen kritik bir uzaktan kod yürütme açığı, aktif olarak istismar ediliyor. Bu güvenlik açığı, iş akışı ifade değerlendirme sistemindeki dinamik kod kaynaklarının yetersiz kontrolünden kaynaklanan bir ifade enjeksiyonu zafiyetidir. Saldırganlar, kimlik doğrulaması yapmış olsalar dahi n8n süreçlerinin ayrıcalıklarıyla rastgele kod çalıştırabiliyorlar.

Saldırının Genel Çerçevesi

Bu RCE açığı, saldırganların hedef sistemlerde tam kontrol sağlamasına olanak tanıyor. İstismar başarılı olduğunda, hassas verilere erişim, iş akışlarının değiştirilmesi veya sistem düzeyinde komutların yürütülmesi mümkün hale geliyor. Şubat 2026 başı itibarıyla Shadowserver Foundation verileri, 24.700’den fazla yamalanmamış n8n örneğinin çevrimiçi olduğunu ve bunların yaklaşık 12.300’ünün Kuzey Amerika, 7.800’ünün ise Avrupa’da bulunduğunu gösteriyor.

Hangi Sistemler Risk Altında?

Bu açık, özellikle Aralık 2025’te yayımlanan 1.120.4, 1.121.1 ve 1.122.0 sürümlerini kullanan n8n sistemlerini etkiliyor. Kurumsal iş akışı otomasyon platformları, SaaS sağlayıcıları ve bulut tabanlı altyapılar risk altında bulunuyor. Ayrıca, Federal Sivil Yürütme Dalları (FCEB) ajansları için 25 Mart 2026’ya kadar zorunlu yama uygulaması getirildi.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan zafiyet: CVE-2025-68613 – Dinamik ifade enjeksiyonu yoluyla RCE (CVSS 9.9).
  • İlgili diğer zafiyet: CVE-2026-27577 – İş akışı ifade değerlendirme sisteminde ek istismarlar (CVSS 9.4).
  • Saldırı adımları: Kimlik doğrulaması sonrası kod enjeksiyonu, iş akışı ayrıcalıklarıyla komut yürütme, sistem kontrolü.
  • Hedef sektörler: Bulut hizmet sağlayıcıları, finans, kamu kurumları ve SaaS platformları.
  • Önerilen savunma: Acil yama uygulanması, EDR ve SIEM çözümleriyle anormal süreçlerin izlenmesi, ağ segmentasyonu ve MFA kullanımı.

Siber Güvenlik Ekipleri İçin Öneriler

  • Yamaları derhal uygulayın ve güncel sürümlere geçin.
  • n8n iş akışı süreçlerinde olağan dışı kod yürütme aktivitelerini EDR ve SIEM ile izleyin.
  • Ağ segmentasyonu ile kritik sistemleri izole edin ve erişim kontrollerini sıkılaştırın.
  • MFA (Çok Faktörlü Kimlik Doğrulama) kullanarak kimlik doğrulama güvenliğini artırın.
  • İş akışı otomasyonunda kullanılan ifadelerin ve kodların güvenliğini düzenli olarak denetleyin.
  • Olay müdahale planlarını güncelleyerek RCE istismarlarına karşı hazırlıklı olun.
  • Log yönetim sistemlerinde n8n süreçlerine ait detaylı kayıtları tutun ve analiz edin.
  • Konteyner ve bulut ortamlarında rastgele SSH portları ve erişim noktalarını minimize edin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir finans kurumunda, n8n iş akışı otomasyonunda bulunan bu RCE açığı sayesinde saldırgan, kimlik doğrulaması yaparak iş akışı süreçlerine kötü amaçlı kod enjekte edebilir. Bu durum, müşteri verilerinin sızdırılması, finansal işlemlerin manipüle edilmesi veya sistemlerin tamamen ele geçirilmesiyle sonuçlanabilir. Bu nedenle, kurumların bulut güvenliği ve ağ segmentasyonu stratejilerini gözden geçirmeleri kritik önem taşıyor.

, , , , , , , ,