Lỗ hổng n8n vẫn bị khai thác, hàng chục nghìn hệ thống chưa vá

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.691 bài viết
Lỗ hổng n8n vẫn bị khai thác, hàng chục nghìn hệ thống chưa vá
WhiteHat Team
Một lỗ hổng trong nền tảng tự động hóa n8n (từng được công bố và phát hành bản vá từ cuối năm 2025) hiện đã bắt đầu bị tin tặc khai thác ngoài thực tế. Thông tin mới nhất từ CISA cho biết lỗ hổng này đã được đưa vào danh mục KEV, tức danh sách các lỗ hổng đang bị tấn công tích cực trên internet.
1773392344458.png

Diễn biến này cho thấy nguy cơ tấn công không còn dừng ở mức cảnh báo kỹ thuật, đặc biệt trong bối cảnh hàng chục nghìn hệ thống n8n trên internet vẫn chưa được cập nhật bản vá bảo mật.

Lỗ hổng được định danh CVE-2025-68613, có điểm CVSS lên tới 9,9/10, gần đạt mức nguy hiểm tối đa. Đây là lỗi expression injection xảy ra trong hệ thống workflow expression evaluation của nền tảng n8n.

Theo mô tả kỹ thuật từ CISA, n8n tồn tại một điểm yếu trong cách kiểm soát các đoạn mã được xử lý động trong quá trình thực thi workflow. Khi hệ thống không kiểm soát chặt chẽ các biểu thức này, kẻ tấn công có thể chèn mã độc vào và khiến hệ thống vô tình thực thi đoạn mã đó. Kết quả là kẻ tấn công có thể thực thi mã từ xa trên máy chủ đang chạy n8n.

Lỗ hổng đã được nhóm phát triển n8n vá vào tháng 12/2025, trong các phiên bản:​
  • 1.120.4​
  • 1.121.1​
  • 1.122.0​
Đáng chú ý, CVE-2025-68613 cũng là lỗ hổng đầu tiên của n8n được đưa vào danh mục KEV của CISA.​

Cơ chế khai thác lỗ hổng​

Theo phân tích từ các nhà phát triển n8n, lỗ hổng này có thể bị khai thác bởi kẻ tấn công đã có quyền truy cập hợp lệ vào hệ thống. Tin tặc có thể chèn các biểu thức độc hại vào workflow hoặc các thành phần xử lý dữ liệu của nền tảng. Khi workflow được thực thi, hệ thống sẽ xử lý các biểu thức này và vô tình thực thi mã do kẻ tấn công cung cấp.

Quá trình tấn công thường diễn ra theo các bước:​
  • Kẻ tấn công truy cập vào hệ thống n8n bằng tài khoản hợp lệ hoặc bị đánh cắp​
  • Chèn biểu thức độc hại vào workflow hoặc cấu hình tự động hóa​
  • Khi workflow chạy, hệ thống thực thi đoạn mã độc​
  • Kẻ tấn công đạt quyền thực thi lệnh trên máy chủ​
Do đoạn mã được thực thi dưới quyền của tiến trình n8n, kẻ tấn công có thể truy cập nhiều tài nguyên quan trọng của hệ thống.​

Nguy cơ và hậu quả khi lỗ hổng bị khai thác​

Nếu lỗ hổng CVE-2025-68613 bị khai thác thành công, hệ thống n8n có thể bị xâm nhập hoàn toàn. Kẻ tấn công có thể:​
  • Truy cập dữ liệu nhạy cảm trong workflow
  • Đánh cắp api key và thông tin xác thực
  • Sửa đổi hoặc phá hoại các quy trình tự động hóa
  • Thực thi các lệnh hệ thống trên máy chủ
  • Cài đặt backdoor để duy trì quyền truy cập lâu dài
Trong nhiều doanh nghiệp, n8n thường được sử dụng để kết nối với các hệ thống quan trọng như cơ sở dữ liệu, dịch vụ cloud hoặc API nội bộ. Vì vậy nếu bị xâm nhập, lỗ hổng này có thể trở thành điểm khởi đầu cho các cuộc tấn công lan rộng trong hạ tầng công nghệ.Hàng chục nghìn hệ thống vẫn chưa được vá.

Hàng chục nghìn hệ thống vẫn chưa được vá​

Theo dữ liệu từ tổ chức nghiên cứu an ninh mạng Shadowserver Foundation, hiện vẫn còn hơn 24.700 hệ thống n8n trên internet chưa được cập nhật bản vá. Trong đó:
  • Hơn 12.300 hệ thống nằm tại Bắc Mỹ
  • Khoảng 7.800 hệ thống tại châu Âu
Việc số lượng lớn hệ thống chưa được vá trong khi lỗ hổng đã bị khai thác ngoài thực tế khiến nguy cơ tấn công diện rộng trở nên đáng lo ngại.

Xuất hiện thêm lỗ hổng nghiêm trọng liên quan​

Cùng thời điểm này, công ty an ninh mạng Pillar Security cũng công bố hai lỗ hổng nghiêm trọng khác trong n8n. Một trong số đó là CVE-2026-27577, có điểm CVSS 9,4.

Lỗ hổng này được mô tả là một biến thể khai thác bổ sung trong cùng hệ thống xử lý biểu thức workflow (khu vực từng tồn tại lỗi CVE-2025-68613). Điều này cho thấy cơ chế xử lý biểu thức trong n8n có thể vẫn còn những điểm yếu tiềm ẩn cần được kiểm tra kỹ hơn.​

Khuyến nghị bảo mật​

Trước nguy cơ từ các lỗ hổng này, CISA yêu cầu các cơ quan thuộc Federal Civilian Executive Branch (FCEB) phải hoàn thành việc cập nhật bản vá cho hệ thống n8n trước ngày 25/3/2026, theo quy định của Binding Operational Directive (BOD 22-01).

Các chuyên gia an ninh mạng khuyến nghị các tổ chức đang sử dụng n8n cần:​
  • Cập nhật hệ thống lên các phiên bản đã được vá lỗi
  • Rà soát các workflow để phát hiện biểu thức bất thường
  • Hạn chế quyền truy cập vào hệ thống quản trị n8n
  • Theo dõi log hệ thống để phát hiện hoạt động thực thi lệnh bất thường
  • Tránh để máy chủ n8n trực tiếp phơi bày trên internet nếu không cần thiết
Việc kiểm soát chặt chẽ quyền truy cập và thường xuyên kiểm tra hệ thống cũng giúp giảm nguy cơ lỗ hổng bị lợi dụng.

Trong bối cảnh các nền tảng tự động hóa như n8n ngày càng được sử dụng rộng rãi trong doanh nghiệp, một lỗ hổng cho phép thực thi mã từ xa có thể trở thành điểm khởi đầu cho các cuộc tấn công nghiêm trọng. Việc cập nhật bản vá bảo mật kịp thời, giám sát hệ thống và quản lý chặt chẽ quyền truy cập là yếu tố then chốt để giảm thiểu rủi ro từ các mối đe dọa an ninh mạng đang ngày càng gia tăng.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • 12,6 triệu máy chủ Linux có nguy cơ bị chiếm quyền root do lỗ hổng CrackArmor
  • Apple vá lỗ hổng WebKit bị khai thác bởi bộ công cụ tấn công Coruna
  • Chrome phát hành bản cập nhật khẩn cấp, chặn hai lỗ hổng zero-day nguy hiểm
  • CISA cảnh báo lỗ hổng SolarWinds Web Help Desk có thể chiếm quyền máy chủ
  • Lỗ hổng nghiêm trọng trên chip MediaTek có thể làm lộ mã PIN Android chỉ trong 45 giây
  • Veeam vá 4 lỗ hổng RCE nghiêm trọng trên máy chủ sao lưu
    • Thẻ
    cve-2025-68613 cve-2026-27577 n8n
    Bên trên