PR

n8nに致命的RCE: CVE-2025-68613(CVSS 9.9)

Security

Source:https://thehackernews.com/2025/12/critical-n8n-flaw-cvss-99-enables.html

🛡 概要

ワークフロー自動化プラットフォームn8nに、任意コード実行の重大な脆弱性(CVE-2025-68613, CVSS 9.9)が開示されました。認証済みユーザーが特定条件下でワークフロー設定中の式(Expressions)を悪用すると、n8nプロセス権限でコードを実行されるおそれがあります。影響範囲は0.211.0以上〜1.120.4未満の全バージョンで、修正は1.120.4/1.121.1/1.122.0に含まれます。npm統計では週約57,000ダウンロード、Censys観測では2025-12-22時点で10万超の潜在的曝露インスタンスが確認されており、早急な対応が必要です。

🔍 技術詳細

ベンダー告知によると、n8nのワークフロー構成で利用される式が、基盤ランタイムから十分に分離されていない実行文脈で評価され得る実装上の欠陥が存在します。これにより、認証済みユーザーが当該式の評価過程を悪用し、n8nアプリケーションの実行権限(一般にn8nサービスユーザーのOS権限)で任意コードを実行できる可能性があります。成功すれば、機密データの読み取り・改ざん、ワークフローの変更、外部への不正通信、さらには基盤OS上でのプロセス生成やファイル操作といったシステムレベルの操作が可能になります。

影響バージョンは「0.211.0以上〜1.120.4未満」。修正は1.120.4系に加え、後続の安定ラインでも1.121.1および1.122.0に含まれます(ベンダーのリリース採用状況に応じた複数系統での提供)。攻撃には認証が必要ですが、インターネット公開されたn8nに弱い認証や共有アカウントが存在する場合、実質的な侵入容易性が高まります。Censysは2025-12-22時点で103,476の潜在的に脆弱な公開インスタンスを観測しており(主に米国、ドイツ、フランス、ブラジル、シンガポール)、露出資産では特にリスクが高いと見なせます。

CVSSは9.9(Critical)。想定される攻撃経路は、認証情報の取得(フィッシングや漏えい再利用)→ワークフロー編集で式を悪用→サーバ側で任意コード実行→データ窃取や横展開の足掛かり、といった流れです。なお、ここでは公開情報に基づく一般化された技術解説であり、PoCや追加の攻撃手法についての未確認情報は含めません。

⚠ 影響

  • アプリケーション権限での任意コード実行(RCE)
  • ワークフロー・接続先クレデンシャル・実行履歴など機微情報の不正取得・改ざん
  • 外部へのデータ流出や不正送信、追加マルウェア配置の足掛かり
  • 権限昇格・横展開の起点化(周辺システムへの攻撃)

🛠 対策

  • パッチ適用(最優先):1.120.4、1.121.1、1.122.0のいずれか以降へ更新。変更管理のうえ直ちにローリング適用。
  • 緩和(即応):パッチまでの暫定策として、ワークフローの作成・編集権限を信頼ユーザーに限定。インターネット直公開は停止し、VPN/ゼロトラスト配下で運用。リバースプロキシで追加認証(SSO/MFA)を必須化。
  • 実行環境強化:
    • コンテナは非root・読み取り専用FS・seccomp/AppArmor/SELinuxで権限最小化、不要なLinux Capabilitiesを削除
    • OS/ネットワークで最小権限(Outbound制限、メタデータサービス遮断、DB/Secretsへの到達を必要最小限に分離)
  • 設定ガバナンス:危険度の高い汎用「式」や「コード」利用をレビュープロセス下に置き、運用ガイドと承認フローを整備
  • インベントリと露出管理:公開エンドポイントの棚卸し、検索エンジン/CASMの発見結果と突合し未管理公開を遮断

📌 SOC視点

  • プロセス監視:n8n(Node.js)プロセスからの子プロセス生成(/bin/sh、bash、powershell、curl、wget、nc等)を高優先度検知。EDRで「親: n8n | 子: シェル/スクリプト実行」をアラート化。
  • ファイル・改変検知:n8nのワークフロー定義や認証情報ストア(DB/ファイル)の急な変更、未知のJS/シェルスクリプト生成を監視。
  • ネットワーク:n8nホストからの不審な外向き通信(新規ASN/地理、C2指標、非常時帯)を検知。プロキシ/ファイアウォール/IDSログを相関。
  • アプリ監査:管理者以外によるワークフロー編集・有効化、短時間に連続する式の更新、想定外の認証成功(新規UA/新規IP/地理変化)をUEBAで検出。

📈 MITRE ATT&CK

  • TA0001 初期アクセス / T1078 有効なアカウント:認証済みユーザーが前提であり、漏えい資格情報の悪用が現実的。
  • TA0002 実行 / T1059.007 JavaScript:n8nはNode.js上で動作し、式評価の不備がJS実行につながる可能性があるため。
  • TA0004 権限昇格 / T1068 脆弱性悪用:アプリ層からサーバ権限でコード実行に至る点が該当。
  • TA0010 収集 / T1213 情報リポジトリからのデータ:ワークフローや接続先の資格情報・データ取得が可能。
  • TA0011 指揮統制 / T1071 アプリ層プロトコル:外向きHTTP(S)でのデータ送出・C2確立に悪用され得る。

🏢 組織規模別助言

  • 〜50名(小規模):クラウド版やマネージドWAF/VPNで囲い込み、SSO/MFA必須化。更新はメンテナンスウィンドウを即設定し一括適用。バックアップとロールバック手順を簡潔に整備。
  • 50〜500名(中規模):ステージングでの検証→段階的本番展開。RBACの細分化、変更申請とレビュー(二人承認)。EDR検知ルール(親: n8n→子: シェル)を標準配備。
  • 500名以上(大規模):CASM/ASMでn8n露出資産を網羅。脆弱性管理(SLA付き)とSOARでの自動封じ込め(公開遮断・ACL適用)。アプリセキュリティ(SAST/DAST)とセキュリティゲートをCI/CDに組み込み。

🔎 類似事例

  • CVE-2022-36067(vm2 sandbox escape):Node.jsサンドボックス回避によりRCEが可能となった事例。
  • CVE-2023-22527(Atlassian Confluence OGNL RCE):式/テンプレート評価の不備がRCEに直結した代表例。

🧭 次の一手

  • 直ちにバージョン1.120.4/1.121.1/1.122.0へ更新し、露出インスタンスを外部到達不可に。
  • 権限の見直し(編集者の最小化)とMFA強制、監査ログの収集・相関(直近30〜90日)。
  • フォレンジック初動手順の確認(プロセスツリー・ネットワーク接続・改変ファイルの保存)。
  • 公式アドバイザリとリリースノートで差分を確認し、恒久対策(運用ガイド・RBAC・ネットワーク分離)を実装。