Descripción general
Durante las últimas semanas, dos vulnerabilidades críticas — CVE-2025-8875 y CVE-2025-8876 — han surgido como amenazas activas en la naturaleza. Ambas han sido marcadas por CISA como ampliamente explotadas, y las organizaciones que dependen de N-able N-central se encuentran particularmente en riesgo.
¿Qué son estas vulnerabilidades?
CVE-2025-8875
Un fallo crítico en N-able N-central que se origina en el manejo inadecuado de datos no confiables. Permite a atacantes remotos explotar debilidades en la deserialización y potencialmente ejecutar código arbitrario en el sistema afectado.
CVE-2025-8876
Estrechamente relacionada, esta vulnerabilidad involucra un problema de Deserialización de Datos No Confiables en N-central, lo que conduce a la ejecución local de código. Las versiones de N-central anteriores a 2025.3.1 están afectadas. Si no se parchean, los atacantes pueden aprovechar este fallo para obtener control de los sistemas que ejecutan despliegues vulnerables.
Ambas vulnerabilidades presentan vectores de ataque de alto impacto — su explotación podría significar el compromiso total del sistema, movimiento lateral dentro de una red, y acceso no autorizado a datos sensibles.
Explotación activa
CISA ha confirmado que estas vulnerabilidades están siendo activamente utilizadas como armas. Los actores de amenazas las están incorporando rápidamente en sus cadenas de ataque, lo que pone de manifiesto la urgencia de que los defensores detecten y mitiguen las instancias afectadas.
Script de detección con Nuclei
Para apoyar a la comunidad de seguridad, creé una plantilla de detección de Nuclei que ayuda a identificar instalaciones vulnerables de N-central. El script verifica el endpoint de inicio de sesión expuesto, valida la presencia de N-central, extrae el número de versión y lo compara con la versión parcheada (2025.3.1.9).
A continuación, lo que hace el script paso a paso:
- Envía una solicitud GET a la página de inicio de sesión de N-central.
- Comprueba los indicadores de la página que confirman que la aplicación es N-central.
- Extrae la versión del software mediante expresiones regulares de la respuesta HTML.
- Compara el número de versión con la línea base segura (2025.3.1.9).
- Marca el host si es vulnerable.
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
Puede encontrar un enlace a mi script de detección en GitHub aquí.
Impacto de la detección
El script fue bien recibido y compartido dentro de la comunidad. Tras alcanzar una tracción significativa en Twitter (20.000 impresiones), quedó demostrado cuán importantes y urgentes son los métodos de detección accionables para estas vulnerabilidades. Mi publicación original al respecto puede encontrarse aquí.
Tras esto, publiqué otra entrada el 21 de agosto de 2025 indicando cuántas direcciones IP aún eran vulnerables a estos CVEs, recordando a los administradores de sistemas y seguridad que parchearan sus sistemas:
https://x.com/rxerium/status/1958443266895925318
Reflexiones finales
Con CVE-2025-8875 y CVE-2025-8876 siendo explotadas activamente, los defensores deben actuar con rapidez. Ya sea que seas un investigador de seguridad, un analista del SOC o un administrador de sistemas, desplegar mecanismos de detección como este puede ganar tiempo valioso hasta que los parches estén completamente desplegados.
Continuaré publicando más plantillas de Nuclei y scripts de detección para ayudar a la comunidad a mantenerse por delante de las amenazas.