出典:UPI経由 Alamy Stock Photo
CISAは今週、N-ableの2つの脆弱性を既知の悪用脆弱性(KEV)カタログに追加しましたが、幸いにも修正パッチがすでに提供されています。
これらの脆弱性はCVE-2025-8875およびCVE-2025-8876として追跡されており、N-ableのリモート監視・管理(RMM)製品であるN-centralに影響を与えます。CVE-2025-8875は信頼されていないデータのデシリアライズの脆弱性(CVSS 9.4)、CVE-2025-8876は不適切な入力検証の脆弱性です。前者は脅威アクターがローカルコードを実行できる可能性があり、後者はOSコマンドインジェクションが可能です。
両方の脆弱性は、バージョン2025.3.1より前のN-centralに影響し、セキュリティステータスページで、N-ableは影響を受ける顧客に「オンプレミスのN-centralを2025.3.1にアップグレードする必要があります」と述べています。
脆弱性の詳細
現時点で、これらの脆弱性に関する技術的な詳細はほとんど公開されていません。N-ableはパッチノートの中で、両方の脆弱性を悪用するには認証が必要であると明記しており、攻撃チェーンの最初で悪用されることはないことを示唆しています。
CISAの勧告も同様に技術的な詳細はなく、現在これらの脆弱性が実際に悪用されているという事実のみが記載されています。
「この種の脆弱性は、悪意のあるサイバー攻撃者による頻繁な攻撃経路となっており、連邦組織に重大なリスクをもたらします」とCISAは述べています。同機関は、KEVカタログに追加されてから1週間後の8月20日までに、連邦民間行政機関(FCEB)に対して対策を講じるよう指示しました。
悪用の範囲
Dark ReadingはN-ableに悪用の範囲について問い合わせました。これに対し、広報担当者は「限定的な数のオンプレミス環境で悪用の証拠が確認された」と述べています。さらに、N-ableがホストするクラウド環境内での悪用の証拠は確認されていません。
「N-able N-centralソリューション内で、認証が必要な2つの重大な脆弱性が特定されました。これらはパッチが適用されていない場合、脅威アクターが権限を昇格させ、N-centralを悪用する可能性があります。当社は迅速にこれらの脆弱性に対応するホットフィックスをリリースし、すべてのN-central顧客に通知しました」とN-ableは述べています。「当社は今後もセキュリティと透明性を重視していきます。…調査が進展し新たな情報が得られ次第、顧客に随時お知らせします。」
Rapid7の検知・対応サービスのシニアマネージャーであるセス・ラザルス氏は、Dark Readingに対し「悪用は広範囲には及んでいないようだ」と述べています。
「CVEについて読む限り、悪用には認証が必要であり、最近見られるものよりも深刻度は低い。そのため、実際の環境での悪用が広がっていない理由だろう」と彼は述べています。