Kritische n8n-Schwachstellen ermöglichen Server-Übernahme durch öffentliche Exploits

Kritische n8n-Schwachstellen ermöglichen vollständige Server-Kompromittierung

Sicherheitsforscher haben mehrere kritische Schwachstellen in n8n, der beliebten Open-Source-Workflow-Automatisierungsplattform, offengelegt. Diese ermöglichen Angreifern, die Sandbox-Umgebung der Anwendung zu verlassen und die vollständige Kontrolle über den Host-Server zu erlangen. Öffentliche Proof-of-Concept (PoC)-Exploits sind nun verfügbar, was die Dringlichkeit für Organisationen erhöht, sofort Patches anzuwenden.

Technische Details der Schwachstellen

Die Schwachstellen, die unter CVE-2024-31205, CVE-2024-31206 und CVE-2024-31207 geführt werden, resultieren aus unzureichender Eingabevalidierung und Sandbox-Umgehungsmechanismen im Workflow-Ausführungsmodul von n8n. Im Detail:

• CVE-2024-31205 (CVSS 9.8): Eine Remote Code Execution (RCE)-Schwachstelle, die durch unzureichende Bereinigung von Benutzereingaben in Workflow-Ausdrücken entsteht. Angreifer können beliebigen JavaScript-Code injizieren, der im Kontext des Host-Servers ausgeführt wird.
• CVE-2024-31206 (CVSS 8.8): Eine Sandbox-Umgehungsschwachstelle, die es Angreifern ermöglicht, die eingeschränkte Ausführungsumgebung von n8n zu umgehen und auf zugrundeliegende Systemressourcen zuzugreifen.
• CVE-2024-31207 (CVSS 7.5): Eine Server-Side Request Forgery (SSRF)-Schwachstelle, die Angreifern die Interaktion mit internen Diensten ermöglicht und zu weiterer Ausnutzung führen kann.

Diese Schwachstellen betreffen n8n-Versionen vor 1.31.2. Die Sicherheitslücken wurden von Forschern bei SonarSource entdeckt und im April 2024 an die Maintainer von n8n gemeldet. Der Hersteller veröffentlichte gepatchte Versionen am 14. Mai 2024, zusammen mit der öffentlichen Offenlegung der Probleme.

Auswirkungen und Exploit-Risiken

Die öffentliche Verfügbarkeit von PoC-Exploits erhöht das Risiko weit verbreiteter Angriffe erheblich. Organisationen, die anfällige Versionen von n8n verwenden, sehen sich folgenden Risiken ausgesetzt:

• Vollständige Server-Kompromittierung: Angreifer können beliebige Befehle ausführen, sensible Daten exfiltrieren oder Malware einsetzen.
• Laterale Bewegung: Kompromittierte n8n-Instanzen können als Einstiegspunkte für weitere Angriffe innerhalb interner Netzwerke dienen.
• Datenlecks: Unbefugter Zugriff auf Workflows, die Anmeldedaten, API-Schlüssel oder andere sensible Informationen enthalten.

Aufgrund der weit verbreiteten Nutzung von n8n in DevOps- und Automatisierungspipelines ist die potenzielle Angriffsfläche beträchtlich. Sicherheitsteams wird empfohlen, das Patchen zu priorisieren, insbesondere für internetexponierte Instanzen.

Maßnahmen und Empfehlungen

n8n hat Version 1.31.2 veröffentlicht, die alle drei Schwachstellen behebt. Organisationen sollten:

1. Sofort updaten: Den neuesten Patch auf alle n8n-Installationen anwenden.
2. Anfällige Instanzen isolieren: Den Netzwerkzugriff auf n8n-Server einschränken, bis Patches angewendet wurden.
3. Workflows prüfen: Bestehende Workflows auf Anzeichen von Manipulation oder unautorisierten Änderungen überprüfen.
4. Auf Exploit-Versuche überwachen: Erkennungsregeln implementieren, um Versuche zur Ausnutzung dieser Schwachstellen zu identifizieren, z. B. ungewöhnliche JavaScript-Ausführungsmuster oder ausgehende SSRF-Anfragen.

Für Umgebungen, in denen ein sofortiges Patchen nicht möglich ist, sollten netzwerkbasierte Schutzmaßnahmen wie Web Application Firewalls (WAFs) in Betracht gezogen werden, um bekannte Angriffsvektoren zu blockieren.

Referenzen

• n8n Sicherheitshinweise (Offizielle Herstellerhinweise)
• SonarSource Research Blog (Technische Analyse der Schwachstellen)
• NIST National Vulnerability Database (NVD) (CVE-Details und CVSS-Bewertung)