0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хакерам даже админка не нужна. Как n8n помогает злоумышленникам гулять по вашим облакам

leer en español

Akamai Zerobot Mirai Tenda n8n CVE-2025-7544 CVE-2025-68613
Хакерам даже админка не нужна. Как n8n помогает злоумышленникам гулять по вашим облакам
Akamai Zerobot Mirai Tenda n8n CVE-2025-7544 CVE-2025-68613

Рассказываем, почему привычка всё упрощать обернулась катастрофой.

image

Вредоносная сеть Zerobot начала активно использовать уязвимости в маршрутизаторах Tenda и платформе автоматизации n8n. Кампанию обнаружила команда Akamai в январе 2026 года, зафиксировав атаки в собственной сети приманок. Речь идёт о первых подтверждённых случаях эксплуатации этих проблем после их раскрытия во второй половине 2025 года.

Zerobot построен на базе Mirai и нацелен на уязвимости CVE-2025-7544 и CVE-2025-68613. Первая затрагивает маршрутизаторы Tenda AC1206 с версией прошивки 15.03.06.23. Ошибка переполнения буфера в обработчике setMacFilterCfg позволяет удалённо выполнить произвольный код через параметр deviceList. Публичный пример эксплуатации появился вскоре после раскрытия проблемы, что упростило задачу злоумышленникам.

Вторая уязвимость связана с системой обработки выражений в n8n. Версии с 0.211.0 по 1.20.4, а также 1.21.1 и 1.22.0 позволяют выполнить произвольные команды на сервере из-за отсутствия должной изоляции при вычислении выражений в рабочих процессах. Достаточно учётной записи без административных прав. Через такую брешь атакующий может читать и изменять файлы, получать переменные окружения с ключами API и закрепляться в атакованной инфраструктуре. Поскольку n8n часто используют для интеграции внутренних сервисов и облачных платформ, компрометация создаёт риск бокового перемещения по сети.

Аналитики Akamai зафиксировали попытки загрузки сценария tol.sh с IP-адреса 144.172.100.228. Скрипт скачивает исполняемые файлы zerobotv9 под разные архитектуры и запускает их. Вредоносный модуль упакован с помощью UPX, содержит зашифрованные строки и обращается к управляющему домену 0bot.qzz.io. В коде присутствует характерная строка запуска Mirai и набор встроенных user-agent для маскировки трафика.

По данным отчёта, операторы начали кампанию не позднее декабря 2025 года, сначала применяя netcat и socat для загрузки полезной нагрузки, а затем переключились на curl и wget. Помимо новых уязвимостей, Zerobot сканирует известные старые проблемы — в частности, CVE-2017-9841, CVE-2021-3129 и CVE-2022-22947. Это отражает типичную тактику ботнетов: оперативно задействовать опубликованные описания и готовые эксплойты, пока владельцы систем не установили обновления.

Название Zerobot впервые появилось в материалах Fortinet в 2022 году, однако связь с прежними операторами остаётся неясной. Девятая версия заметно отличается от ранних образцов по размеру и языку программирования, но сохраняет отдельные элементы Mirai, включая ключ XOR 0xDEADBEEF.

Akamai опубликовала индикаторы компрометации, правила для Snort и YARA и перечень задействованных IP-адресов и хешей. Компания рекомендует организациям проверить маршрутизаторы Tenda и установки n8n, установить обновления и ограничить доступ к сервисам из внешней сети.