重大なN-central RMMの脆弱性が実際に悪用されている

リモート監視および管理（RMM）ソリューションであるN-able N-centralのユーザーに対し、実際に悪用されている2つの重大な脆弱性へのパッチ適用が強く推奨されています。RMMソフトウェアは攻撃者によく狙われており、マネージドサービスプロバイダー（MSP）や企業がワークステーション、サーバー、モバイルデバイス、ネットワーク機器の監視に利用しています。

2つのN-centralの脆弱性は、CVE-2025-8875 および CVE-2025-8876 として特定されており、N-central 2025.3.1 および 2024.6 HF2（8月13日リリース）で修正されました。米国サイバーセキュリティ・インフラストラクチャ庁（CISA）は同時に既知の悪用脆弱性（KEV）カタログにこれらの脆弱性を追加し、ゼロデイとして実際に悪用されていることを示しています。

「これらの脆弱性は悪用に認証が必要ですが、未修正の場合はN-central環境のセキュリティに潜在的なリスクがあります」とN-ableはリリースノートで述べており、オンプレミス導入環境にはパッチ適用が必要だと付け加えています。

英国政府と連携して脆弱性統計を追跡しているShadowserver Foundationの統計によると、インターネットに公開されている脆弱なN-centralサーバーは、ユニークIP数で780台以上存在し、その大半は北米（415台）とヨーロッパ（239台）にあります。一方、Shodanのインターネットデバイス検索エンジンでは、N-centralに関する検索結果が3,000件以上表示されています。

リスクが特に高いのは、N-centralがMSP向け製品であり、MSPが数千の中小企業の環境を管理・監視するために利用しているためです。この製品の開発元であるN-ableは、かつてSolarWindsのMSP事業であり、2021年に分社化されました。

MSPおよびRMMソフトウェアは格好の標的

2つの脆弱性について詳細は多くありませんが、1つはユーザー入力の不適切なサニタイズによるコマンドインジェクションの脆弱性（CVE-2025-8876）、もう1つはコマンド実行につながる可能性のある安全でないデシリアライズの脆弱性（CVE-2025-8875）と説明されています。

デシリアライズとは、プログラミング言語が送信に使われるバイトストリームからデータを元の利用可能な形式に変換する処理です。このデータ解析操作は、歴史的に多くのアプリケーションで重大なリモートコード実行脆弱性の原因となってきました。

N-centralに対する攻撃が2つの脆弱性を組み合わせて利用する必要があるかどうかは不明です。また、攻撃を開始するためにどのような既存権限が必要かも明らかではありません。攻撃には認証が必要ですが、両方の脆弱性はCVSSスコア10点中9.4と評価されており、重大な深刻度であることを示しています。

過去数年にわたり、複数のランサムウェアグループがRMMソフトウェアの脆弱性を悪用してMSPを標的にしてきました。MSPのツールや環境へのアクセスは、下流の数百または数千の企業ネットワークへのアクセスにつながるためです。2021年には、REvilランサムウェア集団がMSPが利用するリモート管理ツール「Kaseya VSA」のゼロデイ脆弱性を悪用し、組織やMSPを侵害しました。

サイバースパイ活動グループ（APT）もMSPを標的にしており、その一例がサプライチェーン攻撃を得意とする中国のグループ「Silk Typhoon」です。Microsoftは3月に、Silk TyphoonがITサービスやインフラプロバイダー、リモート監視・管理（RMM）企業、MSPおよびその関連企業を日常的に標的にしていると警告しました。