Überblick
In den vergangenen Wochen sind zwei kritische Schwachstellen — CVE-2025-8875 und CVE-2025-8876 — als aktive Bedrohungen in freier Wildbahn aufgetaucht. Beide wurden von der CISA als weitverbreitet ausgenutzt eingestuft, und Organisationen, die auf N-able N-central angewiesen sind, sind besonders gefährdet.
Was sind diese Schwachstellen?
CVE-2025-8875
Ein kritischer Fehler in N-able N-central, der auf die unsachgemäße Verarbeitung nicht vertrauenswürdiger Daten zurückzuführen ist. Er ermöglicht es entfernten Angreifern, Schwächen bei der Deserialisierung auszunutzen und potenziell beliebigen Code auf dem betroffenen System auszuführen.
CVE-2025-8876
Diese eng verwandte Schwachstelle betrifft ein Problem der Deserialisierung nicht vertrauenswürdiger Daten in N-central, das zur lokalen Codeausführung führt. Versionen von N-central vor 2025.3.1 sind betroffen. Bleibt der Patch aus, können Angreifer diesen Fehler ausnutzen, um die Kontrolle über Systeme mit anfälligen Deployments zu erlangen.
Beide Schwachstellen weisen hochwirksame Angriffsvektoren auf — eine Ausnutzung könnte eine vollständige Systemkompromittierung, seitliche Bewegung innerhalb eines Netzwerks und unbefugten Zugriff auf sensible Daten bedeuten.
Aktive Ausnutzung
Die CISA hat bestätigt, dass diese Schwachstellen aktiv als Waffen eingesetzt werden. Bedrohungsakteure integrieren sie schnell in ihre Angriffsketten, was die Dringlichkeit für Verteidiger unterstreicht, betroffene Instanzen zu erkennen und zu mitigieren.
Nuclei-Erkennungsskript
Um die Sicherheits-Community zu unterstützen, habe ich ein Nuclei-Erkennungstemplate erstellt, das dabei hilft, anfällige N-central-Installationen zu identifizieren. Das Skript prüft den exponierten Login-Endpunkt, validiert das Vorhandensein von N-central, extrahiert die Versionsnummer und vergleicht sie mit der gepatchten Version (2025.3.1.9).
So funktioniert das Skript Schritt für Schritt:
- Sendet eine GET-Anfrage an die N-central-Anmeldeseite.
- Prüft Seitenindikatoren, die bestätigen, dass es sich bei der Anwendung um N-central handelt.
- Extrahiert die Softwareversion per Regex aus der HTML-Antwort.
- Vergleicht die Versionsnummer mit der sicheren Baseline (2025.3.1.9).
- Markiert den Host, wenn er anfällig ist.
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
Einen Link zu meinem Erkennungsskript finden Sie auf GitHub hier.
Auswirkungen der Erkennung
Das Skript wurde gut aufgenommen und innerhalb der Community geteilt. Nachdem es auf Twitter erheblichen Zuspruch erhalten hatte (20.000 Impressionen), wurde damit einmal mehr deutlich, wie wichtig und dringend handlungsfähige Erkennungsmethoden für diese Schwachstellen sind. Meinen ursprünglichen Beitrag dazu finden Sie hier.
Daraufhin veröffentlichte ich am 21. August 2025 einen weiteren Beitrag, in dem ich darauf hinwies, wie viele IP-Adressen noch immer anfällig für diese CVEs waren, und IT- sowie Sicherheitsadministratoren daran erinnerte, ihre Systeme zu patchen:
https://x.com/rxerium/status/1958443266895925318
Abschließende Gedanken
Da CVE-2025-8875 und CVE-2025-8876 aktiv ausgenutzt werden, müssen Verteidiger schnell handeln. Ob Sie Sicherheitsforscher, SOC-Analyst oder Systemadministrator sind — der Einsatz von Erkennungsmechanismen wie diesem kann wertvolle Zeit verschaffen, bis Patches vollständig ausgerollt sind.
Ich werde weiterhin Nuclei-Templates und Erkennungsskripte veröffentlichen, um der Community zu helfen, Bedrohungen einen Schritt voraus zu bleiben.