1000+ Exposed N-able N-central RMM Servers Unpatched for 0-Day Vulnerabilities
2025/08/18 CyberSecurityNews — N-able が公表したのは、N-central RMM で発見された、2件のゼロデイ脆弱性 CVE-2025-8875/CVE-2025-8876 の影響を受ける 1,000台以上のサーバが、パッチ未適用の状態にあることだ。2025年8月15日の時点において、1,077件の固有 IP アドレスで旧バージョンの N-central の稼働が確認されており、MSP (Managed Service Provider) とユーザーに重大なリスクをもたらしている。すでに、これらの脆弱性は、CISA の Known Exploited Vulnerabilities (KEV) カタログにも登録されており、その深刻さが強調されている。
主なポイント
- 1,077 台のパッチ未適用 N-able N-central RMM サーバが、ゼロデイ脆弱性 CVE-2025-8875/CVE-2025-8876 にさらされている。
- RCE 脆弱性により、攻撃者は MSP 環境を侵害できる。
- 速やかなアップグレードが必要である。
Shadowserver Foundation のスキャン・データによると、パッチ未適用のサーバが集中するのは、米国 (440 IP)/カナダ (112 IP)/オランダ (110 IP)/英国 (98 IP) であり、オーストラリアおよび南アフリカでも脆弱なインスタンスが確認されている。
N-able N-central の脆弱性
脆弱性 CVE-2025-8875/CVE-2025-8876 が影響を及ぼす範囲は、HTTP 経由でアクセス可能な N-central 環境である、これらの脆弱性は、認証を必要とするリモート・コード実行 (RCE) として分類され、その悪用を回避するためには、新たにリリースされたバージョン 2025.3.1 のセキュリティ・パッチ適用が必要となる。
認証の必要性により初期の攻撃ベクターは制限されるが、フィッシングや過去の侵害を通じて認証情報を入手している脅威アクターであれば、これらの脆弱性を悪用し、任意のコマンド実行/権限を昇格/MSP 管理環境への侵入などを試行できる。
N-able が推奨するアップグレードパスは重要である。同社は、「オンプレミスの N-central を 2025.3.1 にアップグレードする必要がある。当社のセキュリティ・ポリシーに従い、CVE の詳細はリリースから3週間後に公開される」と説明している。
このアップデートでは、”SSH Login”/ “Scheduled Task Edited”/”Script Deleted” などに対する監査ログ機能が改善され、Syslog エクスポートのサポートによりコンプライアンス監視が強化される。
管理者は、以下の方法で、新しい監査ログを設定できる。
これらのセキュリティ・アップグレードに加えて、N-central のデバイス管理 API では自動化が改善されている。MSP は “POST /api/device” 経由で、エンドポイントを一括でオンボーディングし、以下の方法でアプリケーションの詳細を取得できるようになった。
これらの機能の強化により、防御側はユーザー・アクティビティを監査し、デバイスのオンボーディングを迅速化できるが、そのためにはタイムリーな修復が必要となる。
ユーザーに対して強く推奨されるのは、Shadowserver アラートを受信したインスタンスについて、管理者が直ちに侵害の有無を確認し、N-able の公式アップデートを使用してパッチを適用することである。
N-central RMM に存在するゼロデイ脆弱性が、認証後のリモート・コード実行を誘発するようです。詳細については、3週間後の発表を待たなければなりませんが、それまでの間にパッチを適用し、攻撃者による悪用を阻止する必要があります。MSP 環境で利用され、多数のユーザーを一括で管理しているため、脆弱性が放置されると影響が一気に広がると、この記事は指摘しています。よろしければ、カテゴリ SecTools も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.