Найти в Дзене
Айтуби / IT to Business
34 подписчика

ZЕROBOT ОБОШЕЛ ЗАЩИТУ: МИШЕНЬЮ СТАЛИ N8N И TENDA

1 мин
Киберпреступники нашли способ проникать в корпоративные сети, минуя сложные системы защиты — им даже не нужны права администратора. Вредоносная сеть Zerobot, построенная на базе знаменитого ботнета Mirai, начала охоту на платформу автоматизации n8n и маршрутизаторы Tenda. Атаки зафиксировала команда Akamai в январе 2026 года, и это первые подтвержденные случаи эксплуатации уязвимостей, о которых стало известно еще в 2025-м. Уязвимость в роутерах Tenda AC1206 (CVE-2025-7544) позволяет отправить на устройство специальный запрос с длинным параметром — и переполнение буфера открывает доступ к выполнению любого кода. Проблема в том, что публичный эксплойт появился почти сразу после раскрытия, и злоумышленники не заставили себя ждать. Но куда опаснее другая цель: платформа n8n, которую компании используют для связи баз данных, облаков и внутренних сервисов. Версии n8n с 0.211.0 по 1.22.0 содержат критическую ошибку (CVE-2025-68613): выражения в рабочих процессах выполняются без должной изоля

Киберпреступники нашли способ проникать в корпоративные сети, минуя сложные системы защиты — им даже не нужны права администратора. Вредоносная сеть Zerobot, построенная на базе знаменитого ботнета Mirai, начала охоту на платформу автоматизации n8n и маршрутизаторы Tenda. Атаки зафиксировала команда Akamai в январе 2026 года, и это первые подтвержденные случаи эксплуатации уязвимостей, о которых стало известно еще в 2025-м.

Уязвимость в роутерах Tenda AC1206 (CVE-2025-7544) позволяет отправить на устройство специальный запрос с длинным параметром — и переполнение буфера открывает доступ к выполнению любого кода. Проблема в том, что публичный эксплойт появился почти сразу после раскрытия, и злоумышленники не заставили себя ждать. Но куда опаснее другая цель: платформа n8n, которую компании используют для связи баз данных, облаков и внутренних сервисов.

Версии n8n с 0.211.0 по 1.22.0 содержат критическую ошибку (CVE-2025-68613): выражения в рабочих процессах выполняются без должной изоляции. Это значит, что любой пользователь с учеткой, даже не админ, может запустить на сервере произвольные команды, украсть ключи API, прочитать файлы и закрепиться в системе. А дальше — гулять по облачной инфраструктуре компании, куда n8n подключен.

Аналитики Akamai поймали скрипт tol.sh, который загружается с IP 144.172.100.228 и устанавливает на зараженные устройства исполняемые файлы Zerobot для разных архитектур. В коде — знакомые следы Mirai: ключ XOR 0xDEADBEEF и зашифрованные строки с обращением к домену 0bot.qzz.io. Причем ботнеты такого типа сканируют не только новые дыры, но и старые известные проблемы вроде CVE-2017-9841 — пока админы тянут с обновлениями.

Самое тревожное: если взлом роутера обычно используют для рассылки спама, то контроль над n8n открывает доступ к самым чувствительным системам компании. Это не просто «еще одна атака на IoT», а принципиально новый уровень угрозы для корпоративной автоматизации. Akamai уже опубликовала индикаторы компрометации, правила для Snort и YARA, но главная защита — своевременные обновления и ограничение доступа к сервисам извне.

Пока одни компании автоматизируют бизнес, другие автоматизируют взломы. Zerobot показывает: для хакера не важно, что атаковать — домашний роутер или облачную платформу. Важно, чтобы владелец забыл поставить патч. А в мире, где уязвимости публикуют задолго до атак, забывчивость обходится слишком дорого.