Хакерам даже админка не нужна. Как n8n помогает злоумышленникам гулять по вашим облакам
NewsMakerРассказываем, почему привычка всё упрощать обернулась катастрофой.
Вредоносная сеть Zerobot начала активно использовать уязвимости в маршрутизаторах Tenda и платформе автоматизации n8n. Кампанию обнаружила команда Akamai в январе 2026 года, зафиксировав атаки в собственной сети приманок. Речь идёт о первых подтверждённых случаях эксплуатации этих проблем после их раскрытия во второй половине 2025 года.
Zerobot построен на базе Mirai и нацелен на уязвимости CVE-2025-7544 и CVE-2025-68613 . Первая затрагивает маршрутизаторы Tenda AC1206 с версией прошивки 15.03.06.23. Ошибка переполнения буфера в обработчике setMacFilterCfg позволяет удалённо выполнить произвольный код через параметр deviceList. Публичный пример эксплуатации появился вскоре после раскрытия проблемы, что упростило задачу злоумышленникам.
Вторая уязвимость связана с системой обработки выражений в n8n . Версии с 0.211.0 по 1.20.4, а также 1.21.1 и 1.22.0 позволяют выполнить произвольные команды на сервере из-за отсутствия должной изоляции при вычислении выражений в рабочих процессах. Достаточно учётной записи без административных прав. Через такую брешь атакующий может читать и изменять файлы, получать переменные окружения с ключами API и закрепляться в атакованной инфраструктуре. Поскольку n8n часто используют для интеграции внутренних сервисов и облачных платформ, компрометация создаёт риск бокового перемещения по сети.
Аналитики Akamai зафиксировали попытки загрузки сценария tol.sh с IP-адреса 144.172.100.228. Скрипт скачивает исполняемые файлы zerobotv9 под разные архитектуры и запускает их. Вредоносный модуль упакован с помощью UPX, содержит зашифрованные строки и обращается к управляющему домену 0bot.qzz.io. В коде присутствует характерная строка запуска Mirai и набор встроенных user-agent для маскировки трафика.
Вредоносная сеть Zerobot начала активно использовать уязвимости в маршрутизаторах Tenda и платформе автоматизации n8n. Кампанию обнаружила команда Akamai в январе 2026 года, зафиксировав атаки в собственной сети приманок. Речь идёт о первых подтверждённых случаях эксплуатации этих проблем после их раскрытия во второй половине 2025 года.
Zerobot построен на базе Mirai и нацелен на уязвимости CVE-2025-7544 и CVE-2025-68613 . Первая затрагивает маршрутизаторы Tenda AC1206 с версией прошивки 15.03.06.23. Ошибка переполнения буфера в обработчике setMacFilterCfg позволяет удалённо выполнить произвольный код через параметр deviceList. Публичный пример эксплуатации появился вскоре после раскрытия проблемы, что упростило задачу злоумышленникам.
Вторая уязвимость связана с системой обработки выражений в n8n . Версии с 0.211.0 по 1.20.4, а также 1.21.1 и 1.22.0 позволяют выполнить произвольные команды на сервере из-за отсутствия должной изоляции при вычислении выражений в рабочих процессах. Достаточно учётной записи без административных прав. Через такую брешь атакующий может читать и изменять файлы, получать переменные окружения с ключами API и закрепляться в атакованной инфраструктуре. Поскольку n8n часто используют для интеграции внутренних сервисов и облачных платформ, компрометация создаёт риск бокового перемещения по сети.
Аналитики Akamai зафиксировали попытки загрузки сценария tol.sh с IP-адреса 144.172.100.228. Скрипт скачивает исполняемые файлы zerobotv9 под разные архитектуры и запускает их. Вредоносный модуль упакован с помощью UPX, содержит зашифрованные строки и обращается к управляющему домену 0bot.qzz.io. В коде присутствует характерная строка запуска Mirai и набор встроенных user-agent для маскировки трафика.