AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

CISA alerta sobre explotación activa de vulnerabilidad crítica en n8n: CVE-2025-68613 permite ejecución remota de código

admin

Introducción

El pasado miércoles, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) incluyó una nueva vulnerabilidad crítica en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV). El fallo, que afecta a la plataforma de automatización de flujos de trabajo n8n, ha sido identificado como CVE-2025-68613 y está siendo objeto de explotación activa. Dada la popularidad de n8n en entornos empresariales y de automatización, esta alerta adquiere especial relevancia para equipos de ciberseguridad, CISOs, analistas SOC, pentesters y administradores de sistemas.

Contexto del Incidente

n8n es una solución open source ampliamente adoptada para la automatización de procesos y orquestación de tareas entre diversos servicios y aplicaciones. Su uso creciente en pipelines CI/CD, integraciones SaaS y flujos de datos críticos la convierte en un objetivo atractivo para actores de amenazas. La vulnerabilidad CVE-2025-68613, con una puntuación CVSS de 9,9, representa un riesgo crítico, ya que posibilita la ejecución remota de código (RCE) a través de una inyección de expresiones en el entorno de ejecución de n8n.

El hecho de que CISA haya incluido el CVE en el KEV indica que existen pruebas fehacientes de explotación activa, lo que incrementa la probabilidad de ataques generalizados, especialmente contra organizaciones que no hayan aplicado los parches publicados recientemente por los desarrolladores de n8n.

Detalles Técnicos

CVE-2025-68613 describe una vulnerabilidad de expresión injection que permite a un atacante inyectar y ejecutar código arbitrario en el contexto del proceso n8n. El fallo reside en el procesamiento insuficiente de entradas no confiables en determinados nodos de flujo, permitiendo que un payload malicioso, convenientemente construido, sea evaluado por el motor de expresión.

– Vectores de ataque: El vector principal es la manipulación de entradas en nodos personalizados o integraciones de terceros, explotando la falta de sanitización. Un atacante con acceso autenticado, o en ciertos casos anónimo (dependiendo de la configuración), puede enviar cargas maliciosas a través de la API expuesta o interfaces web.
– MITRE ATT&CK: T1059 (Command and Scripting Interpreter), T1190 (Exploit Public-Facing Application), T1134 (Access Token Manipulation).
– Indicadores de Compromiso (IoC): Se han reportado cadenas de expresión sospechosas en logs de ejecución de n8n, conexiones salientes inusuales, y presencia de archivos temporales o binarios no reconocidos en los sistemas anfitriones.
– Versiones afectadas: Las investigaciones iniciales apuntan a versiones de n8n anteriores a la actualización emitida el 12 de junio de 2024. Específicamente, se ven afectados los despliegues desde la versión 0.230.0 hasta la 1.15.1. Los parches están disponibles a partir de la versión 1.16.0.

Actualmente, existen exploits públicos y se han observado adaptaciones en frameworks como Metasploit y herramientas de post-explotación tipo Cobalt Strike, lo que facilita la automatización del ataque y su integración en campañas más amplias.

Impacto y Riesgos

El impacto potencial de CVE-2025-68613 es severo:

– Ejecución remota de código con privilegios del proceso n8n, permitiendo movimientos laterales y escalada de privilegios.
– Exfiltración de datos sensibles manejados por los flujos automatizados (credenciales, tokens API, información personal sujeta a GDPR).
– Interrupción de servicios críticos y manipulación de procesos automatizados (integraciones financieras, comunicaciones internas, etc.).
– Riesgo elevado de ransomware y despliegue de cargas maliciosas persistentes.

Según estimaciones de mercado, n8n cuenta con más de 15.000 despliegues empresariales activos, lo que amplifica el alcance potencial de la amenaza. El coste medio de una intrusión basada en RCE supera los 300.000 euros, considerando tiempos de inactividad, recuperación y sanciones regulatorias (GDPR, NIS2).

Medidas de Mitigación y Recomendaciones

– Aplicar urgentemente los parches de seguridad publicados por n8n, actualizando a la versión 1.16.0 o superior.
– Revisar la exposición de instancias de n8n, limitando el acceso a redes internas y deshabilitando interfaces públicas innecesarias.
– Implementar autenticación robusta y segmentación de red para los sistemas que ejecutan n8n.
– Monitorizar logs de actividad en busca de IoCs asociados a la explotación de la vulnerabilidad.
– Desplegar soluciones EDR y WAF que permitan detectar y bloquear patrones de expresión injection.
– Revisar y auditar los flujos y nodos personalizados implementados en la plataforma, validando la sanitización de entradas.

Opinión de Expertos

Expertos del sector, como los investigadores de SANS Institute y el equipo de respuesta de CERT-EU, han alertado sobre la sofisticación y rapidez con la que los atacantes están aprovechando esta vulnerabilidad. Subrayan la necesidad de combinar la actualización de software con una revisión continuada de configuraciones y la aplicación de políticas de mínimo privilegio. “El hecho de que la explotación sea trivial con herramientas automatizadas como Metasploit eleva el riesgo para organizaciones de todos los tamaños”, advierte un analista de amenazas de Mandiant.

Implicaciones para Empresas y Usuarios

Las organizaciones que utilizan n8n deben considerar esta vulnerabilidad como una prioridad crítica de remediación. Dada la naturaleza integradora de n8n, una brecha puede tener efecto dominó sobre múltiples sistemas y procesos empresariales. Además, la exposición de datos personales y comerciales puede acarrear sanciones severas bajo GDPR y NIS2, así como daños reputacionales y pérdida de confianza de clientes y socios.

Conclusiones

CVE-2025-68613 representa una amenaza significativa para el ecosistema de automatización empresarial. La explotación activa y la disponibilidad de exploits públicos exigen una respuesta inmediata por parte de los equipos de seguridad. La actualización inmediata, combinada con una estrategia proactiva de monitorización y segmentación, es esencial para mitigar el riesgo. Este incidente refuerza la necesidad de mantener una vigilancia constante sobre el software de automatización y de priorizar la gestión de vulnerabilidades en la agenda de ciberseguridad corporativa.

(Fuente: feeds.feedburner.com)