返回文章列表
研究档案

CVE-2025-8875和CVE-2025-8876的检测

在过去几周中,两个严重漏洞 - CVE-2025-8875和CVE-2025-8876已成为野外活跃威胁。两者都被CISA标记为被广泛利用,依赖N-able N-central的组织面临特别风险。

vulnerabilitycybersecurity-1nucleidetectionzerodayvulnerability

概述

在过去几周内,两个严重漏洞 — CVE-2025-8875 和 CVE-2025-8876 — 已作为在野攻击威胁浮出水面。CISA 已将两者列为被广泛利用的漏洞,依赖 N-able N-central 的组织面临尤为突出的风险。

这些漏洞是什么?

CVE-2025-8875

N-able N-central 中的严重缺陷,源于对不可信数据的不当处理。该漏洞允许远程攻击者利用反序列化弱点,在受影响的系统上潜在地执行任意代码。

CVE-2025-8876

与前者密切相关,该漏洞涉及 N-central 中的不可信数据反序列化问题,可导致本地代码执行。2025.3.1 之前版本的 N-central 均受影响。如不及时打补丁,攻击者可利用该缺陷控制运行存在漏洞版本的系统。

两个漏洞均具有高影响力的攻击向量——一旦被利用,可能导致系统完全被攻陷、在网络中横向移动,以及对敏感数据的未授权访问。

在野利用情况

CISA 已确认这些漏洞正被主动武器化。威胁行为者正在迅速将其纳入攻击链,这凸显了防御方检测并缓解受影响实例的紧迫性。

Nuclei 检测脚本

为支持安全社区,我创建了一个 Nuclei 检测模板,有助于识别存在漏洞的 N-central 安装。该脚本检查已暴露的登录端点,验证 N-central 的存在,提取版本号,并将其与已修补版本(2025.3.1.9)进行比较。

以下是脚本的逐步执行内容:

  1. 向 N-central 登录页面发送 GET 请求。
  2. 匹配页面指示符,确认该应用程序为 N-central。
  3. 通过正则表达式从 HTML 响应中提取软件版本。
  4. 将版本号与安全基准(2025.3.1.9)进行比较。
  5. 若主机存在漏洞,则进行标记。
id: CVE-2025-8875

info:
  name: CVE-2025-8875
  author: rxerium
  severity: critical
  description: |
    Deserialization of Untrusted Data vulnerability in N-able N-central allows Local Execution of Code. This issue affects N-central: before 2025.3.1.
  metadata:
    verified: true
    max-request: 1
    shodan-query:
      - http.title:"N-central Login"
  tags: n-able,ncentral,kev

http:
  - method: GET
    path:
      - "{{BaseURL}}/login"

    extractors:
      - type: regex
        name: version
        regex:
          - '202\d+\.\d+\.\d+\.\d+\b'
        part: body

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200

      - type: word
        words:
          - 'class="ncentral"'

      - type: dsl
        dsl:
          - compare_versions(version, '< 2025.3.1.9')

检测脚本的链接可在 GitHub 上此处找到。

检测影响

该脚本在社区内受到广泛好评并得到分享。在 Twitter 上获得显著关注度(2 万次曝光)后,这再次表明针对这些漏洞的可操作检测方法是多么重要且紧迫。我关于此事的原始帖子可在此处查看。

此后,我于 2025 年 8 月 21 日发布了另一篇帖子,指出仍有多少 IP 地址易受这些 CVE 攻击,提醒 IT 和安全管理员及时修补其系统:

替代文字 https://x.com/rxerium/status/1958443266895925318

结语

随着 CVE-2025-8875 和 CVE-2025-8876 在野被积极利用,防御方必须迅速行动。无论您是安全研究人员、SOC 分析师还是系统管理员,部署此类检测机制都能在补丁完全推出之前争取宝贵的时间。

我将继续发布更多 Nuclei 模板和检测脚本,帮助社区在威胁面前保持领先。