TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA ออกคำสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แพตช์ช่องโหว่ Remote Code Execution (RCE) บน n8n แพลตฟอร์ม Workflow Automation แบบ Open-source หลังพบว่าถูกใช้โจมตีจริงแล้ว
n8n เป็นแพลตฟอร์ม Workflow Automation แบบ Open-source ที่ถูกใช้งานอย่างแพร่หลายในการพัฒนา AI โดยเฉพาะด้าน Automated Data Ingestion มียอดดาวน์โหลดบน npm registry กว่า 50,000 ครั้งต่อสัปดาห์ และมียอด Pull บน Docker Hub มากกว่า 100 ล้านครั้ง ด้วยบทบาทที่เป็นศูนย์กลางของระบบ Automation ทำให้ n8n มักเก็บข้อมูลที่มีความอ่อนไหวสูง ไม่ว่าจะเป็น API Key, Database Credential, OAuth Token, Cloud Storage Access Credential และ CI/CD Secret จึงเป็นเป้าหมายสำคัญสำหรับผู้โจมตี
ช่องโหว่ดังกล่าวมีรหัส CVE-2025-68613 เป็นช่องโหว่ประเภท RCE ที่เกิดจากการควบคุม Dynamically Managed Code Resources ไม่เหมาะสมในส่วน Workflow Expression Evaluation ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้วสามารถรันโค้ดบนเซิร์ฟเวอร์ได้ด้วยสิทธิ์ของ n8n Process หากโจมตีสำเร็จอาจนำไปสู่การยึดครอง Instance ทั้งหมด รวมถึงเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต แก้ไข Workflow และรันคำสั่งระดับระบบได้ ทีมพัฒนา n8n ได้แก้ไขช่องโหว่นี้แล้วตั้งแต่เดือนธันวาคมใน n8n v1.122.0 โดยแนะนำให้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้จำกัดสิทธิ์การสร้างและแก้ไข Workflow ให้เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น พร้อมจำกัดสิทธิ์ระบบปฏิบัติการและการเข้าถึงเครือข่ายเป็นมาตรการชั่วคราว
ข้อมูลจาก Shadowserver ระบุว่ายังมี Instance ที่ยังไม่ได้แพตช์และเปิดให้เข้าถึงจากอินเทอร์เน็ตมากกว่า 40,000 รายการ โดยพบกว่า 18,000 IP ในอเมริกาเหนือ และกว่า 14,000 IP ในยุโรป CISA ได้เพิ่มช่องโหว่นี้เข้าสู่ Known Exploited Vulnerabilities (KEV) Catalog และสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) แพตช์ n8n ภายในวันที่ 25 มีนาคม 2026 ตาม Binding Operational Directive (BOD 22-01)
แม้คำสั่งนี้จะมีผลบังคับเฉพาะหน่วยงานรัฐบาลกลาง แต่ CISA แนะนำให้ทุกองค์กรเร่งแพตช์ช่องโหว่นี้โดยเร็วที่สุด นอกจากนี้ตั้งแต่ต้นปีทีมพัฒนา n8n ยังได้แก้ไขช่องโหว่ร้ายแรงอื่นๆ อีกหลายรายการ รวมถึงช่องโหว่ที่มีชื่อว่า Ni8mare ซึ่งทำให้ผู้โจมตีจากภายนอกสามารถยึดครองเซิร์ฟเวอร์ n8n ได้โดยไม่ต้องมีสิทธิ์ใดๆ
