n8nで重大セキュリティ問題、「Nye8」と呼ばれるCVSS10脆弱性を悪用した攻撃が判明
- PIPELINE
- 2月9日
- 読了時間: 9分
著者: Reyben T. Cortes、Azim Udin、Unit Zero 脅威調査チーム、DefusedCyber
寒い日が続きますが、今日は少し気になるセキュリティの話です。12月初旬から年末年始にかけて、私たちはn8nの脆弱性についていくつか警告を発してきました。これらの脆弱性は、当然のことながら、すぐに注目を集めました。N8nは、世界中であらゆるユーザーや組織に利用されている、無料で始められるローコード・ノーコード自動化プラットフォームとして、最も注目を集めています。非常にスケーラブルなワークフローと強力なノードにより、Zapierの後継として、組織がローカルインスタンスとクラウドベースのバージョンをセルフホストできるようになりました。これにより高い柔軟性が確保される一方で、攻撃対象領域は極めて多様化しています。
日本 | アジア |
1,170 | 15,362 |
Shodan Dork: http.favicon.hash:-831756631 、 http.title:*n8n* 、 product:*n8n*、 title:*n8n
センシス・ドーク: services.software.vendor : 'n8n'、services.software.product:'n8n'
全世界: 114,843
Nye8!の脆弱性
2025年12月19日、エクスプロイトコードが公開される15日前、私たちのプロアクティブ脅威調査チーム「Unit Zero(ユニットゼロ)」は、信じられないほど素晴らしい脆弱性について警告を受けました。私たちのチームがN8n脆弱性と名付けたCVE-2025-68613による、リヒタースケールで10.0という完璧なCVSSスコアでした。 「Nye8!」 - セキュリティ研究者のFatih Çelik氏によって公開されました。私たちはすぐにプレイブックを実行し、お客様に通知し、影響を受けた日本およびアジア太平洋地域の組織(古いバージョンのソフトウェアを使用している)に必要なアウトリーチを提供しました。迅速な対応により、お客様は適切なパッチ管理を行うための十分な時間を確保できました。
CVE-2025-68613 (Nye8!): 動的に管理されるコードリソースの不適切な制御
CVSS10.0:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Nye8! 脆弱性は、共通トリガーワークフローを作成する際に n8n でリソースが適切に制御されないことに起因します。これは、Node.js 環境における入力検証または不適切な制御と呼ばれるものを悪用したもので、具体的にはthis.process.mainModule.requireロジックの表現に起因します。これにより、図 4 に示すように、ホスト/コンテナ内の機密認証情報に対するモジュールのような機密性の高い OS コマンドインジェクションが発生します。興味深いのは、NVD がこのエクスプロイトを認証済みユーザーが条件を要求するものとして認識したため、このスコアが 8.8 にダウングレードされたことです。しかし、実際に n8n ワークフローを構築したことがある人なら、図 5 に示すように、ワークフローを構築するたびにトリガーノードが作成されることを知っています。脆弱なバージョンでこの脆弱性を悪用し、リバースシェルを展開することで、地球の反対側にいる内部脅威の可能性がある組織にリスクをもたらす可能性があります。
CVE-2026-68668 (N8scape) - Python コードノード実行環境におけるサンドボックスエスケープ
CVSS10.0:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
nye8! のエクスプロイトコードが公開されてから3日後の2025年1月4日、 Cyeraの研究者 Vladimir Tokarev 氏と Ofek Itach 氏によって n8scape の脆弱性が公表されました。私たちも検出目的でエクスプロイトペイロードをテストしていますが、今週公開予定の n8scape ブログで後続の研究者が適切に公開するまで、情報は編集することにしました。Nye8! も同様です。これはサンドボックスからの脱出であり、主に定義済みリソースをブラックリスト化することに起因する欠陥ですが、限界があります。これは、この脆弱性が実際に解決しようとしているものを損ないます。残念ながら、図6に示すように、n8n によって示唆されたパッチは依然として効果がないと見なされる可能性があります。パッチを適用した 2.1.4 インスタンスには「disallowed」リストが表示されており、攻撃者が機密モジュールを表現できる他の Python コードノードライブラリをインポートできる可能性があります。そのため、より脆弱な n8n の開示に注意してください。
CVE-2026-21877 (N8Save) - 任意のファイル書き込みアクセスによる任意のリモートコード実行によりシステムが侵害される
CVSS10.0:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
2日後の1月6日、研究者らはThéo Lelasseux氏によって公開されたクラウドインスタンスとセルフホストインスタンスの両方に影響を与えるn8nプラットフォームのさらなる脆弱性を明らかにしました。この脆弱性は、プラットフォーム全体に見られる適切な入力検証の欠如にも起因しており、ホストコンテナへのアクセスを取得し、信頼できない任意のファイル読み取りを通じて信頼できないコード実行を実行する可能性があります。この欠陥により、図7に示すように、ユーザーがワークフロー用の機密API認証情報を保存している場合、RCE(リモートコード実行)が発生し、データベースが完全に侵害される可能性があります。幸いなことに、この特定のエクスプロイトの詳細は公開されていません。
CVE-2026-21858 (Ni8mare) - Webhook フォームコンテンツにおける認証されていないリモートコード実行
CVSS10.0:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
翌日の1月7日、Cyera Dor Attiasの研究者がNi8mareという脆弱性を公開しました。この脆弱性は、その名の通り、ユーザー認証を必要とせずにネットワークベクトルを悪用するものです。これらの脆弱性は単一のn8nワークフロー内では非常に軽微であるため、多くのワークフローがトリガーノードと設定フィールドから始まるため、nye8!脆弱性とni8mareを連鎖させることが可能です。このエクスプロイトは、図7に示すように、脆弱なn8nインスタンスへの脆弱なHTTPレスポンスを作成することで機能します。当社の脅威調査チーム、ユニットゼロは、この基準に該当する組織を多数発見しました。特に欧米の組織では、求人応募フォームの送信にNi8mareを使用しています。
PoCエクスプロイト市場分析
1月7日、Cyeraがni8mareを公開した同日、私たちはエクスプロイトセールの最初期の一つが157.50米ドルで販売されているのを発見しました。この価格は、脆弱性公開後の低価格帯のコモディティ価格と一致すると同時に、非常に高い投資収益率(ROI)をもたらします。
脆弱な範囲は検証済みですか?
脆弱な範囲 | パッチ適用バージョン |
CVE-2025-68613 CVSS9.9 ≥ 0.211.0 かつ < 1.120.4 (メインブランチ) ≥ 1.121.0 かつ < 1.121.1 (1.121.x ブランチ) ≥ 1.122.0 かつ < 1.122.0 | 1.120.4、1.121.1、1.122.0、およびそれ以降のバージョン(2.x を含む) |
CVE-2026-68668 CVSS9.9 ≥ 1.0.0 かつ < 2.0.0 | 2.0.0以上 |
CVE-2026-21877 CVSS ≥0.123.0 かつ <1.121.3 | 1.121.3以上 |
CVE-2026-21858 CVSS10 ≥1.65.0 かつ <1.121.0 | 1.121.0以上 |
これは日本とアジア太平洋地域にとって何を意味するのでしょうか?
非常に懸念される状況ですが、当社のRiskSensorソリューションを用いて、クラウドインスタンスとセルフホストインスタンスの両方で古いバージョンを実行している複数のお客様を特定しました。アジア太平洋地域の当社の担当地域全体では15,000以上の組織がn8nインスタンスを運用しており、日本では1,000以上の組織が運用しています。日本では2.0X以上のパッチを適用している組織はわずか17%です。これは、日本地域の大部分のバージョンが、CVE-2025-68613の1.124.0未満で稼働しているという状況で、パッチ適用が不十分で古い状態だったことを意味します。1月6日現在、認証情報収集キャンペーンにおいて、n8nのnpmエコシステムに影響を与えるサプライチェーン攻撃が報告されています。このようなキャンペーンは、CVE-2026-21858を悪用する以外に、ユーザー認証を必要とする脆弱性を実行するために、有効なOAuth認証情報を盗み出そうとしている可能性があります。
追跡対象グループは何ですか?
1月9日、バングラデシュ地域でTeam BD Cyber Ninjaに起因するCVE-2026-21858向けにリリースされたPoC(概念実証)エクスプロイトコードを悪用する複数のハクティビストグループを特定しました。これは、地政学的な問題に基づいてバングラデシュで活動するハクティビストグループの複合グループです。これらの発見は、バングラデシュCERTが1月11日にn8nに関する アドバイザリレポートを公開してから2日後に得られました。このグループによるデータ漏洩作戦でのn8nの使用については具体的な言及はありませんが、ni8mare CVE-2026-21858について彼らが共有したPoCを発見しました。これらの発見は、2025年12月初旬のオスマン・ハディ暗殺事件以降、ハッキングとリーク活動が増加し続けている中で、バングラデシュE-gov CERTが1月11日にn8nに関するアドバイザリを公開してから2日後に得られました。
結論
日本およびアジア太平洋地域(APAC)の組織には、2.X以上のバージョンにパッチを適用することを推奨します。このバージョン未満のバージョンでは、CVE-2025-68613とCVE-2026-68668の両方に脆弱な事例が広く確認されているためです。さらに、図6に示すように、n8nによって適用されたパッチはブラックリスト化のために不十分である可能性があり、パッチの回避策が講じられる可能性があります。APAC(アジア太平洋)地域の組織には、新たなn8nの脆弱性に警戒を怠らないよう推奨します。CVE -2025-68949のような、n8nのウェブフック処理の誤りなど、プラットフォーム内で十分に対処されていない新たな脆弱性が、より多くの研究者によって発見されています。3つの脆弱性に必要なユーザー認証につながるn8nのnpmエコシステムを標的としたキャンペーンが進行中であり、これらの状況下で攻撃者が次の脆弱性を連鎖させることを可能としています。しかし、12 月初旬の脅威調査チーム Unit Zero の迅速な対応により、CVE-2025-68613 のエクスプロイト コードが公開される 15 日前に、日本およびアジア太平洋地域の組織に積極的に通知することができました。
RiskSensorソリューション:リアルタイム識別
リアルタイムの識別をお探しなら、RiskSensorの2025年受賞ソリューションが、あらゆる環境における攻撃対象領域を迅速に検証します。プロアクティブな脅威調査チームであるUnit Zeroと連携し、エクスプロイトコードが公開される15日前に組織に通知することで、日本およびアジア太平洋地域のお客様に対し、適切なパッチ管理を支援しています。
✦さいごに
ここまでお読みいただき、ありがとうございました。
私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報(Threat Intelligence)を専門とする専門家集団として、
日々、現場でお客様とともに脅威に向き合っています。
「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」
といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。
そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。
だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。
少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。
