Обзор
За последние несколько недель две критические уязвимости — CVE-2025-8875 и CVE-2025-8876 — стали активными угрозами в реальных условиях. Обе были отмечены CISA как широко эксплуатируемые, и организации, использующие N-able N-central, подвергаются особому риску.
Что представляют собой эти уязвимости?
CVE-2025-8875
Критическая уязвимость в N-able N-central, возникающая из-за некорректной обработки недоверенных данных. Она позволяет удалённым злоумышленникам эксплуатировать слабые места десериализации и потенциально выполнять произвольный код на уязвимой системе.
CVE-2025-8876
Тесно связанная с предыдущей, эта уязвимость связана с проблемой десериализации недоверенных данных в N-central, что приводит к локальному выполнению кода. Затронуты версии N-central, предшествующие 2025.3.1. Без установки патча злоумышленники могут воспользоваться этим недостатком для получения контроля над системами с уязвимыми развёртываниями.
Обе уязвимости представляют высокоэффективные векторы атак — их эксплуатация может привести к полному компрометированию системы, горизонтальному перемещению внутри сети и несанкционированному доступу к конфиденциальным данным.
Эксплуатация в реальных условиях
CISA подтвердила, что эти уязвимости активно используются как оружие. Злоумышленники быстро включают их в свои цепочки атак, что подчёркивает настоятельную необходимость для защитников обнаруживать и устранять уязвимые экземпляры.
Скрипт обнаружения Nuclei
Для поддержки сообщества безопасности я создал шаблон обнаружения Nuclei, помогающий выявить уязвимые установки N-central. Скрипт проверяет открытый конечный endpoint входа в систему, подтверждает наличие N-central, извлекает номер версии и сравнивает его с версией с установленным патчем (2025.3.1.9).
Вот что делает скрипт поэтапно:
- Отправляет GET-запрос на страницу входа N-central.
- Сопоставляет индикаторы страницы, подтверждающие, что приложение является N-central.
- Извлекает версию программного обеспечения с помощью regex из HTML-ответа.
- Сравнивает номер версии с безопасным эталонным значением (2025.3.1.9).
- Помечает хост как уязвимый в случае обнаружения проблемы.
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
Ссылку на мой скрипт обнаружения можно найти на GitHub здесь.
Влияние обнаружения
Скрипт был хорошо принят и распространён внутри сообщества. После того как он получил значительный охват в Twitter (20 000 показов), это стало подтверждением того, насколько важны и востребованы практически применимые методы обнаружения для этих уязвимостей. Мою оригинальную публикацию по этой теме можно найти здесь.
Вслед за этим 21 августа 2025 года я опубликовал ещё один пост, в котором указал, сколько IP-адресов по-прежнему уязвимы для этих CVE, напоминая администраторам ИТ и безопасности о необходимости установить патчи на своих системах:
https://x.com/rxerium/status/1958443266895925318
Заключительные мысли
Поскольку CVE-2025-8875 и CVE-2025-8876 активно эксплуатируются в реальных условиях, защитники должны действовать быстро. Независимо от того, являетесь ли вы исследователем безопасности, аналитиком SOC или системным администратором, развёртывание подобных механизмов обнаружения позволяет выиграть драгоценное время до полного выхода патчей.
Я продолжу публиковать шаблоны Nuclei и скрипты обнаружения, чтобы помочь сообществу оставаться на шаг впереди угроз.