The Shadowserver Foundationのデータによると、インターネットに公開されているN-able N-centralインスタンスのうち870以上が、2つの悪用された脆弱性の影響を受けているバージョンで稼働しています。
これらのセキュリティ欠陥はCVE-2025-8875およびCVE-2025-8876として追跡されており、それぞれ安全でないデシリアライズの問題とコマンドインジェクションのバグと説明されています。
これらの脆弱性は8月13日に公開され、N-ableはリモート監視および管理(RMM)製品のバージョン2025.3にパッチが含まれていることを発表しました。
同日、米国サイバーセキュリティ庁(CISA)は両方の脆弱性をKEVカタログに追加し、連邦機関に対して8月20日までにパッチを適用するよう呼びかけました。
N-ableはバグの技術的な詳細は共有しませんでしたが、SecurityWeekに対し、これらの問題が一部の顧客に対して権限昇格や脆弱なセルフホスト型N-centralインスタンスの悪用に利用されたことを確認しました。
「N-ableがホストするクラウド環境内での悪用の証拠は確認されていません。調査が進展し追加情報が得られ次第、お客様にご案内いたします」とN-ableは述べています。
ベンダーはこれを確認していませんが、公開のタイミングやCISAによるKEVリストへの追加から、これらの脆弱性がゼロデイとして悪用された可能性が示唆されています。
バグが公開された直後、The Shadowserver FoundationはCVE-2025-8875およびCVE-2025-8876の影響を受けるインターネット公開N-centralインスタンスの追跡を開始しました。
広告。スクロールして記事の続きをお読みください。
「N-able N-central RMMのCVE-2025-8875およびCVE-2025-8876のバージョンベース検出を日次スキャンに追加しました。2025-08-15時点で1077の未パッチIPが確認されました」とShadowserverは日曜日に述べました。
The Shadowserver Foundationのトラッカーは8月17日時点で、870以上のN-centralインスタンスが2つの脆弱性に対して未パッチであることを示しています。これらの多くは米国(367)、カナダ(92)、オランダ(84)、オーストラリア(74)、イギリス(72)が上位5か国を占めています。
SolarWindsから分社化されたN-ableは2021年に設立されました。N-centralはMSPやITチームが利用する管理・自動化・オーケストレーションツールであり、これが侵害されるとハッカーがMSPの顧客環境にアクセスできる可能性があります。
関連記事: ロシアのハッカーがWinRARゼロデイを利用し欧州・カナダを攻撃
関連記事: SonicWall「最近の攻撃はゼロデイ脆弱性を含まない」
関連記事: SAP、重大なS/4HANA脆弱性にパッチを適用