N-able N-central の脆弱性 CVE-2025-9316/11700 が FIX:認証バイパスによる機密情報漏洩

Critical N-able N-central Vulnerabilities Allow attacker to interact with legacy APIs and read sensitive files

2025/11/20 CyberSecurityNews — N-able の N-central RMM (remote management and monitoring) プラットフォームの脆弱性 CVE-2025-9316/CVE-2025-11700 が報告された。Horizon3.ai によると、この脆弱性により、認証されていない攻撃者が認証を回避してレガシー API にアクセスし、認証情報やデータベース・バックアップを含む機密ファイルを流出させる可能性がある。

攻撃チェーンの詳細

今年の初め、N-able N-central の脆弱性 CVE-2025-8875/CVE-2025-8876 が、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。これらの脆弱性を悪用する認証済みの攻撃者は、安全ではないデシリアライズとコマンド・インジェクションによりリモート・コード実行を可能にしていた。

Shodan Exposure

その後に Horizon3.ai の研究者たちは、N-central の最新版において、より深刻な脆弱性を発見し、その危険性を示す攻撃チェーンを構築した。具体的に言うと、未認証の攻撃者がレガシー SOAP API の認証バイパスの脆弱性 CVE-2025-9316 を悪用し、有効なセッション ID を取得する可能性がある。

AspectCVE-2025-9316CVE-2025-11700
CVE IDCVE-2025-9316CVE-2025-11700
Vulnerability NameAuthentication Bypass via Weak Authentication MethodXML External Entity (XXE) Information Leak
CVSS Score9.18.2
SeverityCriticalHigh

この初期アクセスにおいて悪用される可能性があるのは、ファイル・システムから任意のファイルを読み取る XML 外部エンティティ (XXE) インジェクション脆弱性 CVE-2025-11700 である。

Shodan によると、インターネット上に公開されている N-central インスタンスは約 3,000 件に達しており、攻撃対象領域は広大である。

Horizon3.ai の研究者たちが実証したのは、これらの脆弱性を連鎖させる攻撃者が、”/opt/nable/var/ncsai/etc/ncbackup.conf” を含む機密コンフィグ・ファイルを読み取る手法である。このファイルには、平文で保存されたデータベース・バックアップ認証情報が含まれている。

Decrypting secrets given masterPassword and keystore.bcfks
Decrypting secrets given masterPassword and keystore.bcfks

さらに深刻なのは、N-central データベース・バックアップにアクセスすることで、ドメイン認証情報/API キー/SSH 秘密鍵/暗号化されたデータベース・エントリなどの、すべての統合シークレットが露見する点である。

また、バックアップに保存されている暗号鍵 (masterPassword/keystore.bcfks) を悪用する攻撃者は、保存されているすべてのシークレットを復号し、インフラを完全に侵害できる。

すでに N-able は、2025年11月5日にリリースされたバージョン 2025.4.0.9 で、この問題に対処している。具体的には、脆弱なレガシー SOAP API エンドポイントへのアクセスが制限されることになった。したがって、ユーザー組織に推奨されるのは、速やかなアップグレードの実施であり、”dmsservice.log” 内における悪用の痕跡の確認である。そこで注意すべきは、”Failed to import service template”というエントリである。

この攻撃チェーンが示すのは、レガシー API エンドポイントが、企業向けソフトウェアにおいて持続的なセキュリティ・リスクをもたらす理由である。それは、広範に導入された RMM ソリューションで特に顕著であり、脅威アクターたちの標的とされている。

N-central のレガシー SOAP API 周りの設計が、大きな弱点になっているようです。原因の中心にあるのは、弱い認証方式による認証バイパスと、XXE により任意ファイルが読めてしまう実装であり、これらが連鎖することでバックアップ設定や平文の認証情報まで流出するとされています。さらに、その情報から、暗号鍵や各種シークレットも復号され、インフラ全体の乗っ取りにつながると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、N-central での検索結果も、ご参照ください。