Rishi Security Research
Posts Article Labs
Retour aux articles
Archive de recherche
Aug 26, 2025

Détection pour CVE-2025-8875 et CVE-2025-8876

Au cours des dernières semaines, deux vulnérabilités critiques - CVE-2025-8875 et CVE-2025-8876 ont émergé comme des menaces actives. Les deux ont été signalées par la CISA comme étant largement exploitées, et les organisations qui dépendent de N-able N-central sont particulièrement à risque.

vulnerabilitycybersecurity-1nucleidetectionzerodayvulnerability

Vue d'ensemble

Au cours des dernières semaines, deux vulnérabilités critiques — CVE-2025-8875 et CVE-2025-8876 — ont émergé comme des menaces actives dans la nature. Toutes deux ont été signalées par la CISA comme étant largement exploitées, et les organisations qui s'appuient sur N-able N-central sont particulièrement exposées.

En quoi consistent ces vulnérabilités ?

CVE-2025-8875

Une faille critique dans N-able N-central qui découle d'une gestion incorrecte de données non fiables. Elle permet à des attaquants distants d'exploiter des faiblesses de désérialisation et d'exécuter potentiellement du code arbitraire sur le système affecté.

CVE-2025-8876

Étroitement liée à la précédente, cette vulnérabilité implique un problème de Désérialisation de Données Non Fiables dans N-central, conduisant à une exécution locale de code. Les versions de N-central antérieures à 2025.3.1 sont concernées. En l'absence de correctif, des attaquants peuvent exploiter cette faille pour prendre le contrôle des systèmes fonctionnant avec des déploiements vulnérables.

Ces deux vulnérabilités présentent des vecteurs d'attaque à fort impact — leur exploitation pourrait entraîner une compromission totale du système, un mouvement latéral au sein d'un réseau, ainsi qu'un accès non autorisé à des données sensibles.

Exploitation active

La CISA a confirmé que ces vulnérabilités sont activement utilisées comme armes. Les acteurs de la menace les intègrent rapidement dans leurs chaînes d'attaque, soulignant l'urgence pour les défenseurs de détecter et de remédier aux instances affectées.

Script de détection Nuclei

Pour soutenir la communauté de la sécurité, j'ai créé un modèle de détection Nuclei permettant d'identifier les installations N-central vulnérables. Le script vérifie l'endpoint de connexion exposé, valide la présence de N-central, extrait le numéro de version et le compare à la version corrigée (2025.3.1.9).

Voici ce que fait le script, étape par étape :

  1. Envoie une requête GET à la page de connexion de N-central.
  2. Vérifie les indicateurs de la page confirmant que l'application est N-central.
  3. Extrait la version du logiciel via une expression régulière depuis la réponse HTML.
  4. Compare le numéro de version à la référence sécurisée (2025.3.1.9).
  5. Signale l'hôte s'il est vulnérable.
id: CVE-2025-8875

info:
  name: CVE-2025-8875
  author: rxerium
  severity: critical
  description: |
    Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
  metadata:
    verified: true
    max-request: 1
    shodan-query:
      - http.title:"N-central Login"
  tags: n-able,ncentral,kev

http:
  - method: GET
    path:
      - "{{BaseURL}}/login"

    extractors:
      - type: regex
        name: version
        regex:
          - '202\d+\.\d+\.\d+\.\d+\b'
        part: body

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: word
        words:
          - 'class="ncentral"'

      - type: dsl
        dsl:
          - compare_versions(version, '< 2025.3.1.9')

Un lien vers mon script de détection est disponible sur GitHub ici.

Impact de la détection

Le script a été bien accueilli et partagé au sein de la communauté. Après avoir généré une traction significative sur Twitter (20 000 impressions), cela a démontré l'importance et l'urgence de disposer de méthodes de détection exploitables pour ces vulnérabilités. Ma publication originale à ce sujet est disponible ici.

Dans la foulée, j'ai publié un autre post le 21 août 2025 indiquant combien d'adresses IP restaient encore vulnérables à ces CVEs, rappelant aux administrateurs informatiques et de sécurité de mettre à jour leurs systèmes :

texte alternatif https://x.com/rxerium/status/1958443266895925318

Réflexions finales

Avec CVE-2025-8875 et CVE-2025-8876 activement exploitées, les défenseurs doivent agir vite. Que vous soyez chercheur en sécurité, analyste SOC ou administrateur système, déployer des mécanismes de détection tels que celui-ci peut faire gagner un temps précieux avant que les correctifs ne soient entièrement déployés.

Je continuerai à publier des modèles Nuclei et des scripts de détection pour aider la communauté à garder une longueur d'avance sur les menaces.