Više od 870 N-able N-central instanci izloženih internetu pokreće verzije koje su pogođene dvjema ranjivostima koje hakeri već eksploatišu, pokazuju podaci Fondacije Shadowserver.
Bezbjednosni propusti, praćeni kao CVE-2025-8875 i CVE-2025-8876, opisuju se kao problem nesigurne deserializacije i greška koja omogućava komandnu injekciju.
Ranjivosti su otkrivene 13. avgusta, kada je N-able objavio da su zakrpe za njih uključene u verziju 2025.3 njihovog proizvoda za udaljeni nadzor i menadžment (RMM).
Istog dana, američka sajber bezbjednosna agencija CISA dodala je obje ranjivosti u svoj KEV katalog, pozivajući federalne agencije da ih zakrpe do 20. avgusta.
N-able nije podijelio tehničke detalje o propustima, ali je za SecurityWeek potvrdio da su napadi izvedeni protiv ograničenog broja korisnika, s ciljem eskalacije privilegija i zloupotrebe ranjivih self-hosted N-central instanci.
„Nismo vidjeli dokaze eksploatacije u N-able cloud okruženjima. Nastavićemo da obavještavamo korisnike o svim dodatnim informacijama koje postanu dostupne tokom naše istrage o ovom slučaju,“ saopštili su iz N-able.
Dobavljač nije to potvrdio, ali vremenski okvir objave i dodavanje u KEV listu od strane CISA sugerišu da su ranjivosti možda bile zloupotrebljene kao zero-day.
Ubrzo nakon što su propusti objavljeni, Fondacija Shadowserver počela je da prati N-central instance izložene internetu koje su pogođene ranjivostima CVE-2025-8875 i CVE-2025-8876.
„Dodali smo detekciju N-able N-central RMM verzija pogođenih CVE-2025-8875 i CVE-2025-8876 u naše dnevne skenove. Na dan 15. avgusta otkriveno je 1.077 nekrpljenih IP adresa,“ saopštio je Shadowserver u nedjelju.
Tracker Fondacije Shadowserver pokazuje da je, zaključno sa 17. avgustom, više od 870 N-central instanci i dalje nezaštićeno od ovih ranjivosti. Većina njih nalazi se u SAD (367), a slijede Kanada (92), Nizozemska (84), Australija (74) i Ujedinjeno Kraljevstvo (72).
N-able je nastao 2021. godine kao spin-off SolarWinds-a. N-central je alat za menadžment, automatizaciju i orkestraciju koji koriste MSP kompanije i IT timovi, a njegova uspješna kompromitacija mogla bi hakerima omogućiti pristup okruženjima korisnika MSP-a.
Izvor: SecurityWeek