Visão geral
Nas últimas semanas, duas vulnerabilidades críticas — CVE-2025-8875 e CVE-2025-8876 — surgiram como ameaças ativas em ambientes reais. Ambas foram sinalizadas pela CISA como amplamente exploradas, e as organizações que dependem do N-able N-central correm risco particularmente elevado.
O que são essas vulnerabilidades?
CVE-2025-8875
Uma falha crítica no N-able N-central originada pelo tratamento inadequado de dados não confiáveis. Ela permite que atacantes remotos explorem fraquezas de desserialização e potencialmente executem código arbitrário no sistema afetado.
CVE-2025-8876
Intimamente relacionada, essa vulnerabilidade envolve um problema de Desserialização de Dados Não Confiáveis no N-central, levando à execução local de código. Versões do N-central anteriores a 2025.3.1 são impactadas. Sem o patch aplicado, atacantes podem se aproveitar dessa falha para obter controle dos sistemas que executam implantações vulneráveis.
Ambas as vulnerabilidades apresentam vetores de ataque de alto impacto — a exploração pode significar comprometimento total do sistema, movimento lateral dentro de uma rede e acesso não autorizado a dados sensíveis.
Exploração ativa
A CISA confirmou que essas vulnerabilidades estão sendo ativamente armadas. Agentes de ameaça estão as incorporando rapidamente em suas cadeias de ataque, destacando a urgência para que os defensores detectem e mitiguem instâncias afetadas.
Script de detecção com Nuclei
Para apoiar a comunidade de segurança, criei um template de detecção do Nuclei que ajuda a identificar instalações vulneráveis do N-central. O script verifica o endpoint de login exposto, valida a presença do N-central, extrai o número de versão e o compara com a versão corrigida (2025.3.1.9).
Veja o que o script faz passo a passo:
- Envia uma requisição GET para a página de login do N-central.
- Verifica indicadores na página que confirmam que a aplicação é o N-central.
- Extrai a versão do software via regex da resposta HTML.
- Compara o número de versão com a baseline segura (2025.3.1.9).
- Sinaliza o host se ele for vulnerável.
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
Um link para o meu script de detecção pode ser encontrado no GitHub aqui.
Impacto da detecção
O script foi bem recebido e compartilhado dentro da comunidade. Após gerar tração significativa no Twitter (20.000 impressões), ficou evidente o quão importantes e urgentes são os métodos de detecção acionáveis para essas vulnerabilidades. Minha publicação original sobre o assunto pode ser encontrada aqui.
Em seguida, publiquei outro post em 21 de agosto de 2025, informando quantos endereços IP ainda estavam vulneráveis a esses CVEs e lembrando administradores de TI e segurança de que precisavam aplicar patches em seus sistemas:
https://x.com/rxerium/status/1958443266895925318
Considerações finais
Com CVE-2025-8875 e CVE-2025-8876 sendo ativamente exploradas, os defensores precisam agir rapidamente. Seja você um pesquisador de segurança, um analista de SOC ou um sysadmin, implantar mecanismos de detecção como este pode ganhar um tempo valioso até que os patches sejam totalmente implementados.
Continuarei publicando mais templates do Nuclei e scripts de detecção para ajudar a comunidade a se manter à frente das ameaças.