अवलोकन
पिछले कुछ हफ्तों में, दो गंभीर कमजोरियाँ — CVE-2025-8875 और CVE-2025-8876 — वास्तविक खतरों के रूप में सामने आई हैं। CISA ने दोनों को व्यापक रूप से शोषित के रूप में चिह्नित किया है, और N-able N-central पर निर्भर संगठन विशेष रूप से जोखिम में हैं।
ये कमजोरियाँ क्या हैं?
CVE-2025-8875
N-able N-central में एक गंभीर खामी, जो अविश्वसनीय डेटा के अनुचित प्रबंधन से उत्पन्न होती है। यह दूरस्थ हमलावरों को deserialization की कमजोरियों का फायदा उठाने और प्रभावित प्रणाली पर संभावित रूप से मनमाना कोड निष्पादित करने की अनुमति देती है।
CVE-2025-8876
इससे निकटता से संबंधित, इस कमजोरी में N-central में Untrusted Data के Deserialization की समस्या शामिल है, जो कोड के स्थानीय निष्पादन की ओर ले जाती है। 2025.3.1 से पहले के N-central के संस्करण प्रभावित हैं। यदि पैच नहीं लगाया गया, तो हमलावर कमजोर deployments चलाने वाले सिस्टम पर नियंत्रण प्राप्त करने के लिए इस खामी का फायदा उठा सकते हैं।
दोनों कमजोरियाँ उच्च-प्रभाव वाले attack vectors प्रस्तुत करती हैं — इनका शोषण पूर्ण सिस्टम समझौते, नेटवर्क के भीतर lateral movement, और संवेदनशील डेटा तक अनधिकृत पहुँच का अर्थ हो सकता है।
वास्तविक शोषण
CISA ने पुष्टि की है कि इन कमजोरियों को सक्रिय रूप से हथियार बनाया जा रहा है। Threat actors इन्हें तेजी से अपनी attack chains में शामिल कर रहे हैं, जो रक्षकों के लिए प्रभावित instances का पता लगाने और उन्हें कम करने की तत्कालता को उजागर करता है।
Nuclei डिटेक्शन स्क्रिप्ट
सुरक्षा समुदाय का समर्थन करने के लिए, मैंने एक Nuclei detection template बनाया जो कमजोर N-central installations की पहचान करने में मदद करता है। यह स्क्रिप्ट उजागर login endpoint की जाँच करती है, N-central की उपस्थिति को सत्यापित करती है, version number निकालती है, और इसे patched version (2025.3.1.9) से तुलना करती है।
स्क्रिप्ट चरण-दर-चरण क्या करती है:
- N-central login page को GET request भेजती है।
- पुष्टि करने वाले page indicators से मिलान करती है कि application N-central है।
- HTML response से regex के माध्यम से software version निकालती है।
- version number की सुरक्षित baseline (2025.3.1.9) से तुलना करती है।
- यदि host कमजोर है तो उसे flag करती है।
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
मेरी detection script का लिंक GitHub पर यहाँ पाया जा सकता है।
डिटेक्शन का प्रभाव
स्क्रिप्ट को समुदाय के भीतर अच्छी तरह से प्राप्त किया गया और साझा किया गया। Twitter पर महत्वपूर्ण traction (20,000 impressions) प्राप्त करने के बाद, यह एक संकेत था कि इन कमजोरियों के लिए actionable detection methods कितने महत्वपूर्ण और तत्काल हैं। इस पर मेरी मूल पोस्ट यहाँ पाई जा सकती है।
इसके बाद, मैंने 21 अगस्त 2025 को एक और पोस्ट भेजा, जिसमें बताया गया कि अभी भी कितने IP addresses इन CVEs के प्रति कमजोर थे, IT और security admins को अपने सिस्टम को patch करने की याद दिलाते हुए:
https://x.com/rxerium/status/1958443266895925318
अंतिम विचार
CVE-2025-8875 और CVE-2025-8876 के साथ जो वास्तविक रूप से शोषित हो रहे हैं, रक्षकों को तेजी से आगे बढ़ना होगा। चाहे आप एक security researcher हों, SOC analyst हों, या sysadmin हों, इस तरह के detection mechanisms को deploy करना तब तक मूल्यवान समय खरीद सकता है जब तक patches पूरी तरह से rolled out नहीं हो जाते।
मैं समुदाय को खतरों से आगे रहने में मदद करने के लिए और अधिक Nuclei templates और detection scripts प्रकाशित करता रहूँगा।