SchwachstellenHackerangriffeCloud-Sicherheit

Kritische n8n-Sicherheitslücke: US-Behörden ordnen sofortiges Patchen an

Kritische n8n-Sicherheitslücke: US-Behörden ordnen sofortiges Patchen an
Zusammenfassung

Die US-Cybersicherheitsbehörde CISA hat amerikanische Bundesbehörden angewiesen, eine aktiv ausgenutzte Sicherheitslücke in der Workflow-Automatisierungsplattform n8n zu patchen. Das Open-Source-Tool wird weltweit von über 50.000 Nutzern wöchentlich heruntergeladen und ist besonders in der KI-Entwicklung zur Automatisierung von Datenprozessen verbreitet. Die als CVE-2025-68613 katalogisierte Remote-Code-Execution-Lücke ermöglicht authentifizierten Angreifern, beliebigen Code mit den Rechten des n8n-Prozesses auszuführen und damit potenziell das gesamte System zu kompromittieren. Besonders kritisch ist, dass n8n häufig hochsensible Daten wie API-Schlüssel, Datenbankzugangsdaten und Cloud-Credentials speichert, was es zu einem attraktiven Ziel für Cyberkriminelle macht. Nach Angaben der Sicherheitsgruppe Shadowserver sind weltweit über 40.000 ungepatschte Instanzen online erreichbar, darunter mehr als 18.000 in Nordamerika und über 14.000 in Europa. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere wenn sie n8n zur Automation kritischer Prozesse einsetzen. CISA hat das Patchen bis zum 25. März zur verbindlichen Anweisung für Bundesbehörden erklärt und alle Organisationen zur sofortigen Behebung aufgefordert.

Die kritische Sicherheitslücke CVE-2025-68613 betrifft das Expression-Evaluation-System von n8n. Wie CISA mitteilte, ermöglicht die Schwachstelle “eine unsachgemäße Kontrolle dynamisch verwalteter Code-Ressourcen”, die zu Remote Code Execution führt. Eine erfolgreiche Ausnutzung könnte zur vollständigen Kompromittierung einer n8n-Instanz führen, einschließlich unbefugtem Zugriff auf sensible Daten, Manipulation von Workflows und Ausführung von Systembefehlen auf höchster Ebene.

Das n8n-Entwicklerteam veröffentlichte den erforderlichen Sicherheitspatch bereits im Dezember 2024 mit der Version n8n v1.122.0. Trotzdem zeigt eine Analyse der Internet-Sicherheitsorganisation Shadowserver, dass weltweit über 40.000 n8n-Instanzen immer noch ungepatcht im Internet erreichbar sind. In Nordamerika wurden mehr als 18.000 betroffene IP-Adressen identifiziert, in Europa über 14.000.

Für US-Behörden hat CISA klare Fristen gesetzt: Alle Agenturen der Federal Civilian Executive Branch (FCEB) müssen ihre n8n-Instanzen bis zum 25. März patchen, wie die verbindliche Richtlinie BOD 22-01 von 2021 vorschreibt. Die Agentur hat die Schwachstelle auch in ihren Katalog der aktiv ausgenutzen Sicherheitslücken (KEV-Katalog) aufgenommen.

Für Administratoren, die nicht sofort ein Update durchführen können, empfehlen die Experten vorläufige Maßnahmen: Workflow-Erstellung und -Bearbeitung sollten ausschließlich vollständig vertrauten Nutzern vorbehalten sein, und die Betriebssystem-Berechtigungen sowie der Netzwerkzugriff sollten eingeschränkt werden.

Obwohl BOD 22-01 nur auf US-Bundesbehörden anwendbar ist, drängt CISA alle Organisationen weltweit, ihre Systeme gegen die laufenden CVE-2025-68613-Angriffe zu schützen. Der Sicherheitsbehörde zufolge stellt diese Art von Schwachstelle “einen häufigen Angriffsvektor für böswillige Cyber-Akteure dar und birgt erhebliche Risiken für die föderale Unternehmenslandschaft”.

Dies ist nicht die erste kritische Sicherheitslücke in n8n dieses Jahres. Das Sicherheitsteam hat bereits mehrere andere schwerwiegende Anfälligkeit behoben, darunter die als “Ni8mare” bekannte Lücke, die es Angreifern ohne spezielle Berechtigungen ermöglicht, ungepatche n8n-Server zu übernehmen.

Ähnliche Artikel