CISAは水曜日、攻撃者がN-ableのN-centralリモート監視・管理(RMM)プラットフォームの2つのセキュリティ脆弱性を積極的に悪用していると警告しました。
N-centralは、マネージドサービスプロバイダー(MSP)やIT部門が、クライアントのネットワークやデバイスを中央のウェブベースのコンソールから監視、管理、保守するためによく利用されています。
CISAによると、これら2つの脆弱性により、攻撃者は安全でないデシリアライズの弱点(CVE-2025-8875)を利用してコマンド実行を取得したり、不適切なユーザー入力のサニタイズの脆弱性(CVE-2025-8876)を悪用してコマンドを注入したりすることが可能です。
N-ableは、これらのセキュリティバグが実際に悪用されているというCISAの報告をまだ確認していませんが、同社はN-central 2025.3.1で修正パッチを提供しています。また、バグに関するさらなる情報が公開される前に、管理者に対してシステムの保護を呼びかけています。
「このリリースには、CVE-2025-8875およびCVE-2025-8876に対する重大なセキュリティ修正が含まれています。これらの脆弱性を悪用するには認証が必要ですが、未修正の場合、N-central環境のセキュリティに潜在的なリスクがあります」と、N-ableは水曜日のアドバイザリで述べています。
「オンプレミスのN-centralを2025.3.1にアップグレードする必要があります。(CVEの詳細は、当社のセキュリティ方針に従い、リリースから3週間後に公開されます)」
米国サイバーセキュリティ庁は、これらのN-centralのセキュリティバグを悪用した攻撃の詳細はまだ共有していませんが、現時点ではランサムウェア攻撃で使用されている証拠はないと述べています。
Shodanの検索によると、約2,000件のN-able N-centralインスタンスがオンラインで公開されており(その一部はすでにパッチ適用済みの可能性あり)、その大部分はアメリカ、オーストラリア、ドイツからのものです。
CISAはまた、これらの脆弱性を既知の悪用脆弱性カタログに追加し、連邦民間行政機関(FCEB)に対し、2021年11月の拘束力のある運用指令(BOD)22-01に基づき、8月20日までにシステムのパッチ適用を1週間以内に完了するよう求めています。
BOD 22-01は主に米国連邦機関を対象としていますが、CISAは民間部門を含むすべての組織に対しても、この積極的に悪用されているセキュリティ脆弱性からデバイスをできるだけ早く保護するよう推奨しています。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とCISAは月曜日に警告しました。
「この種の脆弱性は、悪意のあるサイバー攻撃者による攻撃経路として頻繁に利用され、連邦組織に重大なリスクをもたらします。」
先週、CISAは緊急指令を発出し、米国行政機関(軍を除く)に対し、重大なMicrosoft Exchangeハイブリッドの脆弱性(CVE-2025-53786)を月曜日午前9時(東部時間)までに緩和するよう命じました。
