2025年8月14日Ravie Lakshmanan脆弱性 / ネットワークセキュリティ
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、N-able N-centralに影響を及ぼす2つのセキュリティ脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加したと発表しました。これは、実際に悪用されている証拠があるためです。
N-able N-centralは、マネージドサービスプロバイダー(MSP)向けに設計されたリモート監視および管理(RMM)プラットフォームであり、顧客がWindows、Apple、Linuxのエンドポイントを単一の統合プラットフォームから効率的に管理・保護することを可能にします。
問題となっている脆弱性は以下の通りです。
- CVE-2025-8875(CVSSスコア:N/A) – コマンド実行につながる可能性のある安全でないデシリアライズの脆弱性
- CVE-2025-8876(CVSSスコア:N/A) – ユーザー入力の不適切なサニタイズによるコマンドインジェクションの脆弱性
これら両方の問題は、2025年8月13日にリリースされたN-centralの2025.3.1および2024.6 HF2バージョンで修正されています。N-ableはまた、特に管理者アカウントに対して多要素認証(MFA)が有効になっていることを顧客に強く推奨しています。
「これらの脆弱性を悪用するには認証が必要です」とN-ableは警告しています。「しかし、パッチが適用されていない場合、N-central環境のセキュリティに潜在的なリスクがあります。オンプレミスのN-centralを2025.3.1にアップグレードする必要があります。」
現時点では、これらの脆弱性が実際の攻撃でどのように悪用されているのか、その状況や規模については明らかになっていません。The Hacker NewsはN-ableにコメントを求めており、回答があり次第、記事を更新します。
実際に悪用されていることを受け、連邦民間行政機関(FCEB)には、2025年8月20日までに必要な修正を適用し、ネットワークを保護することが推奨されています。
この動きは、CISAが前日に、Microsoft Internet ExplorerおよびOfficeに影響を与える2年前のセキュリティ脆弱性をKEVカタログに追加したことに続くものです。
- CVE-2013-3893(CVSSスコア:8.8) – Microsoft Internet Explorerのメモリ破損の脆弱性で、リモートコード実行が可能
- CVE-2007-0671(CVSSスコア:8.8) – Microsoft Office Excelのリモートコード実行の脆弱性で、特別に細工されたExcelファイルを開くことでリモートコード実行が可能
FCEB機関は、2025年9月9日までに最新バージョンへアップデートするか、製品がサポート終了(EoL)となっている場合は使用を中止する必要があります。これはInternet Explorerにも当てはまります。
翻訳元: https://thehackernews.com/2025/08/cisa-adds-two-n-able-n-central-flaws-to.html