CISA KEV 警告 25/08/13:N-able N-Central の脆弱性 CVE-2025-8875/8876 を登録

CISA Warns of N-able N-Central Deserialization and Injection Vulnerability Exploited in Attacks

2025/08/14 CyberSecurityNews — CISA は 2025年8月13日付けで、N-able N-Central RMM ソフトウェアに存在する2つの深刻なセキュリティ脆弱性について緊急警告を発し、KEV カタログに追加した。これらの脆弱性は、脅威アクターたちにより積極的に悪用されているという。脆弱性 CVE-2025-8875CVE-2025-8876 は、この広く導入されている IT 管理プラットフォームを利用する組織に対して、深刻なリスクをもたらしている。

主なポイント
  • N-able N-Central の2つの深刻な脆弱性が積極的に悪用されている。
  • CISA による期限:2025年8月20日までに修正が必須。
  • 修正が不可能な場合:使用を中止する必要がある。
デシリアライゼーションの脆弱性

1つ目の脆弱性 CVE-2025-8875 は、安全が確保されないデシリアライゼーションの欠陥であり、影響を受けるシステム上での任意のコマンド実行を引き起こす可能性がある。

アプリケーションのデシリアライゼーション・メカニズムにより、信頼できないデータが処理される際に発生する問題である。したがって、攻撃者がオブジェクトの状態を操作し、悪意のコード実行を引き起こす可能性が生じる。

N-able N-Central のアーキテクチャに存在する欠陥により、管理対象システムへの不正アクセスと制御権の取得が、リモート攻撃者に許されることになる。

この脆弱性の技術的な性質は、N-Central プラットフォーム内で、シリアライズされたオブジェクトが適切に処理されないことにある。

ユーザー制御の入力を適切に検証せずに、アプリケーションによりデシリアライゼーションが実行されると、高度な攻撃者はセキュリティ制御を回避し、標的ネットワークへの永続的なアクセスを確立するための、攻撃ベクターを作成できる。

コマンド・インジェクション脆弱性

2つ目の脆弱性 CVE-2025-8876 は、N-Central アプリケーション内でユーザー入力が適切にサニタイズされていないことに起因する、コマンド・インジェクションの欠陥である。

コマンド・インジェクション攻撃とは、基盤となる OS が処理データのための入力フィールドを、適切なフィルタリングや検証なしに操作することで生じる侵害である。それにより攻撃者は、任意のシステム・コマンドを実行する機会を手にする。

この脆弱性を悪用する攻撃者は、N-Central のユーザー・インターフェイス内の、入力検証メカニズムを標的とする。このメカニズムにおける、入力データに対する不十分なサニタイズにより、シェル・コマンドが入力されても実行を阻止できない状況にある。

その悪用に成功した攻撃者は、システムレベル・コマンドの実行/機密ファイルへのアクセス/システム・コンフィグの変更などに加えて、侵害したシステム上に悪意のソフトウェアをインストールすることも可能になるという。

緩和策

CISA が設定する修復タイムラインは、2025年8月13日に KEV カタログに追加された、これらの脆弱性に対して、僅か1週間後の8月20日までに緩和策を実施せよという、きわめて厳しいものである。この緊急性が示すのは、実際の攻撃シナリオにおける、脆弱性 CVE-2025-8875/CVE-2025-8876 の積極的な悪用である。

米国の連邦政府組織は、拘束的運用指令 (BOD) 22-01 ガイダンスに従い、上記の期日までにパッチを適用する義務があり、それが不可能な場合には、N-Central の使用を中止する必要がある。

すでに N-able は、N-Central のバージョン 2025.3.1 をリリースし、これらのセキュリティ問題に対処している。

ランサムウェア攻撃との関連性は不明であるが、デシリアライゼーションとコマンド・インジェクションの脆弱性の組み合わせを悪用する脅威アクターは、強力な攻撃対象領域を生み出す。エンタープライズ・ネットワーク全体へのイニシャル・アクセスを取得した脅威アクターは、ラテラル・ムーブメントやペイロード展開などに、侵害したシステムを悪用する可能性を手にするという。

N-able N-Central に見つかった2つの脆弱性は、ともに入力データの扱いに問題があるものです。1つ目はデシリアライゼーションの欠陥であり、信頼できないデータをそのまま処理するものです。2つ目はコマンド・インジェクションの欠陥であり、入力データに対するサニタイズが不十分であるため、ユーザー入力に紛れ込んだ OS コマンドを実行してしまうものです。これらの脆弱性が連鎖すると、強力な攻撃対象領域が生じると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検出も、ご参照ください。