SecBoard
Zurück zur Übersicht

n8n Token Exchange Flaw Could Let Attackers Log In as Users From Another Issuer

The Hacker News·
Originalartikel lesen bei The Hacker News

Ein Fehler in der Workflow-Automatisierungsplattform n8n ermöglichte Angreifern, sich als andere Benutzer anzumelden. Betroffen sind Enterprise-Instanzen, die mehrere externe Token-Aussteller verwenden. Ein gültiges Token von Aussteller A mit einem "sub"-Anspruch, der einem Benutzer von Aussteller B gehört, führte zur Anmeldung als dieser Benutzer.

Kurzfassung

Ein kritischer Fehler in der Workflow-Automatisierungsplattform n8n ermöglichte Angreifern, sich als andere Benutzer anzumelden. Betroffen sind Enterprise-Instanzen, die mit mehreren externen Token-Ausstellern konfiguriert sind. Ein gültiges Token von einem Aussteller konnte den Zugriff auf ein Benutzerkonto ermöglichen, das einem anderen Aussteller zugeordnet ist.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Enterprise-Instanzen der n8n Workflow-Automatisierungsplattform, die mit mehreren externen Token-Ausstellern konfiguriert sind.

Warum relevant

Organisationen, die n8n Enterprise mit mehreren externen Token-Ausstellern nutzen, sind einem erheblichen Risiko ausgesetzt, da Angreifer sich als beliebige Benutzer anmelden und auf sensible Workflows und Daten zugreifen könnten.

Realistisches Worst Case

Angreifer könnten sich als privilegierte n8n-Benutzer anmelden, Workflows manipulieren, sensible Daten exfiltrieren oder die Automatisierungsplattform für weitere Angriffe auf verbundene Systeme missbrauchen.

Handlungsempfehlung

Sicherstellen, dass alle n8n-Instanzen auf die neueste Version aktualisiert werden, um die Authentifizierungs-Bypass-Schwachstelle zu patchen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die n8n-Version Ihrer Enterprise-Instanzen und stellen Sie sicher, dass das neueste Sicherheitsupdate installiert ist.
  • Auditieren Sie die Konfiguration Ihrer n8n-Instanzen, um festzustellen, ob mehrere externe Token-Aussteller verwendet werden.
  • Überprüfen Sie die Protokolle auf ungewöhnliche Anmeldeversuche oder Sitzungen von Benutzern, die von unerwarteten Ausstellern stammen könnten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1133 External Remote ServicesLowEin Fehler in der Workflow-Automatisierungsplattform n8n ermöglichte Angreifern, sich als andere Benutzer anzumelden.
Defense EvasionT1078 Valid AccountsHighEin gültiges Token von Aussteller A mit einem "sub"-Anspruch, der einem Benutzer von Aussteller B gehört, führte zur Anmeldung als dieser Benutzer.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Versionen von n8n betroffen sind, außer dass es sich um Enterprise-Instanzen handelt.
  • Es werden keine spezifischen CVE-IDs oder Exploits genannt.
  • Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?