Rishi Security Research
Posts Article Labs
投稿に戻る
研究アーカイブ
Aug 26, 2025

CVE-2025-8875およびCVE-2025-8876の検出

過去数週間で、2つの重大な脆弱性 - CVE-2025-8875とCVE-2025-8876が実際の脅威として浮上しています。両方ともCISAによって広く悪用されていると指摘されており、N-able N-centralに依存している組織は特にリスクにさらされています。

vulnerabilitycybersecurity-1nucleidetectionzerodayvulnerability

概要

ここ数週間で、2つの重大な脆弱性 — CVE-2025-8875 と CVE-2025-8876 — が実際の攻撃で悪用される脅威として浮上しています。どちらも CISA により広く悪用されているものとして指摘されており、N-able N-central に依存している組織は特にリスクにさらされています。

これらの脆弱性とは?

CVE-2025-8875

N-able N-central における重大な欠陥で、信頼されていないデータの不適切な処理に起因します。これにより、リモートの攻撃者がデシリアライゼーションの弱点を悪用し、影響を受けるシステム上で任意のコードを実行できる可能性があります。

CVE-2025-8876

密接に関連するこの脆弱性は、N-central における信頼されていないデータのデシリアライゼーションの問題を伴い、ローカルでのコード実行につながります。2025.3.1 より前のバージョンの N-central が影響を受けます。パッチが適用されないままであれば、攻撃者はこの欠陥を利用して脆弱なデプロイメントが動作するシステムを乗っ取ることができます。

どちらの脆弱性も高影響度の攻撃ベクトルを持っており、悪用されればシステムの完全な侵害、ネットワーク内での横移動、機密データへの不正アクセスにつながる可能性があります。

実際の悪用状況

CISA はこれらの脆弱性が積極的に兵器化されていることを確認しています。脅威アクターは攻撃チェーンにこれらを急速に組み込んでおり、防御側が影響を受けるインスタンスを検出・緩和することの緊急性が浮き彫りになっています。

Nuclei 検出スクリプト

セキュリティコミュニティを支援するため、脆弱な N-central インストールを特定するための Nuclei 検出テンプレートを作成しました。このスクリプトは、公開されているログインエンドポイントを確認し、N-central の存在を検証し、バージョン番号を抽出して、パッチ済みバージョン(2025.3.1.9)と比較します。

スクリプトが行うことをステップごとに説明します:

  1. N-central のログインページに GET リクエストを送信します。
  2. アプリケーションが N-central であることを確認するページ上のインジケーターを照合します。
  3. HTML レスポンスから正規表現によりソフトウェアバージョンを抽出します。
  4. バージョン番号を安全なベースライン(2025.3.1.9)と比較します。
  5. 脆弱である場合、そのホストにフラグを立てます。
id: CVE-2025-8875

info:
  name: CVE-2025-8875
  author: rxerium
  severity: critical
  description: |
    Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
  metadata:
    verified: true
    max-request: 1
    shodan-query:
      - http.title:"N-central Login"
  tags: n-able,ncentral,kev

http:
  - method: GET
    path:
      - "{{BaseURL}}/login"

    extractors:
      - type: regex
        name: version
        regex:
          - '202\d+\.\d+\.\d+\.\d+\b'
        part: body

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: word
        words:
          - 'class="ncentral"'

      - type: dsl
        dsl:
          - compare_versions(version, '< 2025.3.1.9')

検出スクリプトへのリンクは GitHub のこちらから確認できます。

検出の影響

このスクリプトはコミュニティ内で好評を博し、広く共有されました。Twitter で大きな反響(2万インプレッション)を得たことは、これらの脆弱性に対する実用的な検出手法がいかに重要で緊急性が高いかを示すものでした。この件に関する私の最初の投稿はこちらから確認できます。

その後、2025年8月21日に別の投稿を行い、これらの CVE に対してまだ脆弱な IP アドレスの数を示し、IT・セキュリティ管理者にシステムのパッチ適用を促しました:

代替テキスト https://x.com/rxerium/status/1958443266895925318

まとめ

CVE-2025-8875 と CVE-2025-8876 が実際に悪用されている以上、防御側は迅速に行動しなければなりません。セキュリティ研究者、SOC アナリスト、システム管理者のいずれであっても、このような検出メカニズムを展開することで、パッチが完全にロールアウトされるまでの貴重な時間を稼ぐことができます。

コミュニティが脅威の一歩先を行けるよう、引き続き Nuclei テンプレートと検出スクリプトを公開していきます。