cisa n8n'deki aktif sömürülen rce açığını kataloğuna ekledi
arkadaşlar, n8n kullananlar var mı aranızda? varsa hemen bu yazıyı okuyun çünkü ciddi bir durum var. cisa (amerikan siber güvenlik kurumu) çarşamba günü CVE-2025-68613 açığını kev kataloğuna ekledi. sebep basit: aktif olarak sömürülüyor.
ne var ne yok
CVE-2025-68613 açığı n8n’de expression injection zafiyeti. yani kısacası saldırganlar kod enjekte edip uzaktan kod çalıştırabiliyorlar (rce). cvss skoru 9.9, yani kritik seviyede acil yamala 🔴 kategorisinde.
şimdi en kötü kısmı söyleyeyim: censys ve shodan’da yapılan taramalara göre 24,700 tane n8n instance’ı internete açık durumda. yani 24 bin 700 tane potansiyel hedef var ortada.
spoiler: cisa bunu kev kataloğuna ekledi, yani federal kurumların 21 mart tarihine kadar yamalamış olması lazım. siz de boş durmayın.
n8n nedir ki
bilmeyenler için kısaca açıklayayım: n8n workflow automation aracı. zapier, make gibi şeylerin self-hosted versiyonu diyebilirsiniz. api’leri birbirine bağlıyorsunuz, otomasyonlar kuruyorsunuz falan. oldukça kullanışlı bir araç aslında ama işte böyle açıklar çıkınca başınız ağrıyor.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| n8n (yamasız versiyonlar) | ✅ Etkileniyor |
| n8n (yamalı versiyonlar) | ❌ Etkilenmiyor |
ne yapmanız lazım
agalar şimdi yapmanız gerekenler şunlar:
1. versiyon kontrolü
önce hangi versiyonda olduğunuzu kontrol edin:
# n8n versiyonunu öğrenin
n8n --version
# veya docker kullanıyorsanız
docker exec -it n8n n8n --version
2. güncelleme
yama çıkmış durumda, hemen güncelleyin:
# npm ile kurduysanız
npm update -g n8n
# docker kullanıyorsanız
docker pull n8nio/n8n:latest
docker-compose down
docker-compose up -d
# yedek almayı unutmayın önce
docker exec -it n8n n8n export:workflow --backup --output=/backup/
3. güvenlik kontrolleri
güncelleme yaptıktan sonra şunları da yapın:
# logları kontrol edin, şüpheli aktivite var mı
tail -f /var/log/n8n/n8n.log
# docker logları
docker logs n8n --tail 1000 | grep -i "error\|warning\|injection"
geçici çözümler
hemen yamalayamıyorsanız (ki yamalayın ama):
- internete erişimi kapatın: n8n’i sadece vpn veya internal network üzerinden erişilebilir yapın
- waf kuralları: expression injection pattern’lerini engelleyen waf kuralları ekleyin
- ip whitelist: sadece bilinen ip’lerden erişime izin verin
# nginx örneği
location /n8n {
allow 10.0.0.0/8;
allow 192.168.0.0/16;
deny all;
proxy_pass http://localhost:5678;
}
24 bin 700 instance ne demek
şimdi düşünün, 24,700 tane açık n8n var internette. bunların hepsi potansiyel hedef. saldırganlar shodan’da “n8n” diye aratıp liste çıkarıyorlar zaten.
edit: bu tür automation araçları genelde hassas bilgilere erişimi olan sistemlerde çalışır. api key’ler, veritabanı bilgileri, dahili sistem erişimleri falan. yani bir kere girilirse hasar büyük olur.
cisa’nın kev kataloğu
bilmeyenler için: cisa’nın kev (known exploited vulnerabilities) kataloğu, aktif olarak sömürülen açıkların listesi. buraya bir açık eklendiğinde “arkadaş bu ciddi, gerçekten kullanılıyor” demektir.
federal kurumlar için zorunlu yama süresi var ama siz de kendinize aynı deadline’ı verin: 21 mart’a kadar yamalamış olun.
kontrol listesi
hadi bakalım, işe koyulun:
- n8n versiyonunu kontrol ettim
- yedek aldım
- güncelleme yaptım
- logları kontrol ettim
- network erişimini kısıtladım
- güvenlik ekibine bildirdim
- diğer n8n instance’larını da kontrol ettim
son sözler
arkadaşlar bu tür kritik açıklarda oyalanmayın. aktif sömürü var demek “yarın yaparım” demenize izin vermiyor. özellikle 24 bin 700 tane hedef varken saldırganlar toplu tarama yapıyordur muhtemelen.
önce test ortamında deneyin ama sonra production’a da hemen geçin. “test ortamında sorun çıkarsa” diye production’ı yamalamadan bırakmayın, o zaman daha büyük sorun çıkar.
dikkat: güncelleme yaparken n8n workflow’larınız duracak, kullanıcılarınızı bilgilendirin. bakım penceresi açın, düzgün yapın işi.
kaynaklar
bkz: remote code execution
bkz: expression injection
bkz: cisa kev catalog
bkz: workflow automation security
Bu içerik yapay zeka tarafından oluşturulmuştur.