Rishi Security Research
Posts Article Labs
العودة إلى المنشورات
أرشيف الأبحاث
Aug 26, 2025

الكشف عن CVE-2025-8875 و CVE-2025-8876

خلال الأسابيع القليلة الماضية، ظهرت ثغرتان أمنيتان حرجتان - CVE-2025-8875 و CVE-2025-8876 كتهديدات نشطة. تم الإبلاغ عن كليهما من قبل CISA على أنهما يتم استغلالهما على نطاق واسع، والمنظمات التي تعتمد على N-able N-central معرضة للخطر بشكل خاص.

vulnerabilitycybersecurity-1nucleidetectionzerodayvulnerability

نظرة عامة

على مدى الأسابيع القليلة الماضية، ظهرت ثغرتان أمنيتان حرجتان — CVE-2025-8875 وCVE-2025-8876 — كتهديدات نشطة في البيئات الحقيقية. وقد صنّفتهما CISA باعتبارهما مستغَلَّتَيْن على نطاق واسع، والمؤسسات التي تعتمد على N-able N-central معرّضة للخطر بشكل خاص.

ما هذه الثغرات؟

CVE-2025-8875

خلل حرج في N-able N-central ينشأ عن المعالجة غير الصحيحة للبيانات غير الموثوقة. يُتيح للمهاجمين عن بُعد استغلال نقاط ضعف إلغاء التسلسل وتنفيذ تعليمات برمجية عشوائية على النظام المتأثر.

CVE-2025-8876

ترتبط هذه الثغرة ارتباطاً وثيقاً بالسابقة، وتنطوي على مشكلة إلغاء تسلسل البيانات غير الموثوقة في N-central، مما يؤدي إلى تنفيذ تعليمات برمجية محلياً. وتتأثر إصدارات N-central السابقة للإصدار 2025.3.1. وإذا لم يُعالَج الأمر بتطبيق التصحيحات، فقد يستغل المهاجمون هذا الخلل للسيطرة على الأنظمة التي تعمل بعمليات نشر مكشوفة للخطر.

كلتا الثغرتين تقدّمان ناقلات هجوم عالية الأثر — قد يعني استغلالها اختراقاً كاملاً للنظام، والتحرك الأفقي داخل الشبكة، والوصول غير المصرح به إلى البيانات الحساسة.

الاستغلال في البيئات الحقيقية

أكدت CISA أن هاتين الثغرتين يجري توظيفهما سلاحاً بصورة فعلية. ويعمل الجهات التهديدية على دمجهما بسرعة في سلاسل الهجوم الخاصة بهم، مما يُبرز الإلحاح الشديد الذي يواجهه المدافعون في اكتشاف الأنظمة المتأثرة والتخفيف من حدة الخطر.

سكريبت الكشف بـ Nuclei

لدعم مجتمع الأمن المعلوماتي، أنشأت قالب كشف لـ Nuclei يساعد في تحديد تثبيتات N-central الضعيفة. يفحص السكريبت نقطة نهاية تسجيل الدخول المكشوفة، ويتحقق من وجود N-central، ويستخرج رقم الإصدار، ويقارنه بالإصدار المُصحَّح (2025.3.1.9).

إليك ما يقوم به السكريبت خطوة بخطوة:

  1. يرسل طلب GET إلى صفحة تسجيل الدخول في N-central.
  2. يطابق مؤشرات الصفحة التي تؤكد أن التطبيق هو N-central.
  3. يستخرج إصدار البرنامج عبر regex من استجابة HTML.
  4. يقارن رقم الإصدار مع الخط الأساسي الآمن (2025.3.1.9).
  5. يضع علامة على المضيف إذا كان ضعيفاً.
id: CVE-2025-8875

info:
  name: CVE-2025-8875
  author: rxerium
  severity: critical
  description: |
    Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
  metadata:
    verified: true
    max-request: 1
    shodan-query:
      - http.title:"N-central Login"
  tags: n-able,ncentral,kev

http:
  - method: GET
    path:
      - "{{BaseURL}}/login"

    extractors:
      - type: regex
        name: version
        regex:
          - '202\d+\.\d+\.\d+\.\d+\b'
        part: body

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: word
        words:
          - 'class="ncentral"'

      - type: dsl
        dsl:
          - compare_versions(version, '< 2025.3.1.9')

يمكن العثور على رابط سكريبت الكشف الخاص بي على GitHub هنا.

أثر الكشف

لقي السكريبت استحساناً واسعاً وتمت مشاركته داخل المجتمع. وبعد أن حقق انتشاراً ملحوظاً على Twitter (20,000 ظهور)، كان ذلك دليلاً على مدى أهمية وإلحاح طرق الكشف القابلة للتنفيذ لهذه الثغرات. يمكن العثور على منشوري الأصلي حول هذا الموضوع هنا.

في أعقاب ذلك، نشرت منشوراً آخر في الحادي والعشرين من أغسطس 2025 أوضحت فيه عدد عناوين IP التي لا تزال عُرضة لهذه الثغرات، في تذكير لمسؤولي تقنية المعلومات والأمن بتطبيق التصحيحات على أنظمتهم:

نص بديل https://x.com/rxerium/status/1958443266895925318

خاتمة

مع الاستغلال النشط لـ CVE-2025-8875 وCVE-2025-8876 في البيئات الحقيقية، يجب على المدافعين التحرك بسرعة. سواء كنت باحثاً أمنياً أو محلل SOC أو مسؤول أنظمة، فإن نشر آليات الكشف كهذه قد يمنحك وقتاً ثميناً حتى تُطرح التصحيحات بالكامل.

سأواصل نشر المزيد من قوالب Nuclei وسكريبتات الكشف لمساعدة المجتمع على البقاء في مقدمة التهديدات.