概述
在过去几周内,两个严重漏洞 — CVE-2025-8875 和 CVE-2025-8876 — 已作为在野攻击威胁浮出水面。CISA 已将两者列为被广泛利用的漏洞,依赖 N-able N-central 的组织面临尤为突出的风险。
这些漏洞是什么?
CVE-2025-8875
N-able N-central 中的严重缺陷,源于对不可信数据的不当处理。该漏洞允许远程攻击者利用反序列化弱点,在受影响的系统上潜在地执行任意代码。
CVE-2025-8876
与前者密切相关,该漏洞涉及 N-central 中的不可信数据反序列化问题,可导致本地代码执行。2025.3.1 之前版本的 N-central 均受影响。如不及时打补丁,攻击者可利用该缺陷控制运行存在漏洞版本的系统。
两个漏洞均具有高影响力的攻击向量——一旦被利用,可能导致系统完全被攻陷、在网络中横向移动,以及对敏感数据的未授权访问。
在野利用情况
CISA 已确认这些漏洞正被主动武器化。威胁行为者正在迅速将其纳入攻击链,这凸显了防御方检测并缓解受影响实例的紧迫性。
Nuclei 检测脚本
为支持安全社区,我创建了一个 Nuclei 检测模板,有助于识别存在漏洞的 N-central 安装。该脚本检查已暴露的登录端点,验证 N-central 的存在,提取版本号,并将其与已修补版本(2025.3.1.9)进行比较。
以下是脚本的逐步执行内容:
- 向 N-central 登录页面发送 GET 请求。
- 匹配页面指示符,确认该应用程序为 N-central。
- 通过正则表达式从 HTML 响应中提取软件版本。
- 将版本号与安全基准(2025.3.1.9)进行比较。
- 若主机存在漏洞,则进行标记。
id: CVE-2025-8875
info:
name: CVE-2025-8875
author: rxerium
severity: critical
description: |
Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
metadata:
verified: true
max-request: 1
shodan-query:
- http.title:"N-central Login"
tags: n-able,ncentral,kev
http:
- method: GET
path:
- "{{BaseURL}}/login"
extractors:
- type: regex
name: version
regex:
- '202\d+\.\d+\.\d+\.\d+\b'
part: body
matchers-condition: and
matchers:
- type: status
status:
- 200
- type: word
words:
- 'class="ncentral"'
- type: dsl
dsl:
- compare_versions(version, '< 2025.3.1.9')
检测脚本的链接可在 GitHub 上此处找到。
检测影响
该脚本在社区内受到广泛好评并得到分享。在 Twitter 上获得显著关注度(2 万次曝光)后,这再次表明针对这些漏洞的可操作检测方法是多么重要且紧迫。我关于此事的原始帖子可在此处查看。
此后,我于 2025 年 8 月 21 日发布了另一篇帖子,指出仍有多少 IP 地址易受这些 CVE 攻击,提醒 IT 和安全管理员及时修补其系统:
https://x.com/rxerium/status/1958443266895925318
结语
随着 CVE-2025-8875 和 CVE-2025-8876 在野被积极利用,防御方必须迅速行动。无论您是安全研究人员、SOC 分析师还是系统管理员,部署此类检测机制都能在补丁完全推出之前争取宝贵的时间。
我将继续发布更多 Nuclei 模板和检测脚本,帮助社区在威胁面前保持领先。