La faiblesse de la configuration montre le risque de centraliser les informations d’identification, explique Imperva.
Une faiblesse dans la configuration des informations d’identification OAuth ouvre une vulnérabilité XSS stockée dans la plate-forme d’automatisation n8n, ont découvert des chercheurs d’Imperva.
La configuration d’OAuth permet à n8n de se connecter à des services tels que Google Workspace, Microsoft 365, Slack ou GitHub sans avoir à exposer les mots de passe des services.
Ceci est au cœur des plates-formes d’automatisation comme n8n, car cela permet aux organisations de réduire plusieurs tâches manuelles à des flux de travail automatisés uniques. Un client peut soumettre un formulaire Web, que n8n transmet via des appels API ou des informations d’identification OAuth à un système CRM et à une base de données centrale, avant d’envoyer des messages à des outils de messagerie ou de gestion de projet Slack externes.
Cela s’appuie sur des jetons OAuth ou des clés API pour l’authentification et est configuré via une URL pointant vers chaque service externe. Malheureusement, Imperva a constaté que n8n le fait sans nettoyer correctement l’URL d’autorisation.
Un attaquant pourrait lancer une attaque XSS en remplaçant une URL valide par une charge utile JavaScript malveillante sur laquelle cliqueraient d’autres utilisateurs utilisant les mêmes informations d’identification dans leurs comptes.
« Il s’agit d’un XSS stocké, ce qui signifie que la charge utile est enregistrée de manière permanente dans la base de données et servie à tout utilisateur qui interagit avec les informations d’identification », a déclaré Imperva.
Est-ce grave ?
Une mise en garde importante : pour que tout cela soit possible, un attaquant devrait avoir accès au système n8n de la victime. De ce point de vue, exploiter cette vulnérabilité serait la deuxième étape d’une attaque, et non la première.
De même, un attaquant capable de réaliser l’exploit serait en mesure d’exfiltrer plusieurs informations d’identification parmi les employés et éventuellement de compromettre l’ensemble du système n8n. Cependant, selon Imperva, le problème le plus important réside en réalité dans la mesure dans laquelle les organisations mutualisent les risques sur les plates-formes d’automatisation.
« Les outils d’automatisation des flux de travail comme n8n sont en train de devenir l’épine dorsale de l’infrastructure informatique moderne. Bien qu’ils offrent une puissance et une vitesse immenses, ils centralisent également la confiance », a déclaré Imperva.
« Une vulnérabilité dans cette couche peut souvent être plus dommageable qu’une vulnérabilité dans une seule application isolée. Nous recommandons aux organisations de traiter leurs plates-formes d’automatisation comme des actifs de niveau 0, d’appliquer des contrôles d’accès stricts et de veiller à ce qu’elles soient corrigées rapidement. »
En bref, les plateformes d’automatisation permettent de gagner énormément de temps mais centralisent l’accès à plusieurs autres systèmes. Cela les rend extrêmement attrayants pour les attaquants.
La plate-forme n8n publie régulièrement de nouvelles versions, ce qui signifie que les vulnérabilités sont souvent corrigées « silencieusement » avant que les utilisateurs n’en entendent parler. Il en va de même pour la dernière faille découverte qui a été corrigée dans la mise à jour v2.6.4 publiée le 6 février.
En février, les chercheurs ont découvert une série de vulnérabilités n8n qui ont généré six CVE distincts. Quelques semaines auparavant, la plateforme avait été touchée par une faille de niveau critique qui avait été corrigée avec quatre autres CVE. La plateforme a également été ciblée par des packages npm malveillants se faisant passer pour des intégrations n8n, signe que sa popularité croissante la porte à l’attention des acteurs malveillants.
