Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило в свой Каталог известных эксплуатируемых уязвимостей (KEV) две критические ошибки в платформе N-able N-central. Это решение было принято после получения доказательств их активного использования в реальных кибератаках.
Первая уязвимость, идентифицированная как CVE-2025-8875, относится к классу небезопасной десериализации. Успешная эксплуатация этой ошибки позволяет злоумышленнику выполнять произвольные команды на целевой системе.
Второй недостаток, получивший идентификатор CVE-2025-8876, представляет собой уязвимость внедрения команд. Она возникает из-за неправильной обработки пользовательского ввода, что также открывает возможность для удаленного выполнения команд.
Платформа N-able N-central — это инструмент для удаленного мониторинга и управления (RMM), который широко используется поставщиками управляемых услуг (MSP). С его помощью провайдеры обслуживают и защищают конечные устройства под управлением Windows, Apple и Linux с единой консоли.
Компания N-able уже выпустила исправления для обеих уязвимостей 13 августа 2025 года. Проблемы устранены в версиях N-central 2025.3.1 и 2024.6 HF2.
Разработчик настоятельно рекомендует всем пользователям локальных версий N-central обновиться до версии 2025.3.1. Кроме того, N-able подчеркивает важность активации многофакторной аутентификации (MFA), особенно для учетных записей администраторов, поскольку, по заявлению компании, для эксплуатации уязвимостей требуется предварительная аутентификация в системе.
В соответствии с директивой CISA, все федеральные гражданские ведомства исполнительной власти (FCEB) обязаны установить необходимые обновления для защиты от данных угроз. Крайний срок для выполнения этого требования — 20 августа 2025 года.
На данный момент точные методы и масштабы эксплуатации уязвимостей в атаках остаются неизвестными. Издание The Hacker News направило запрос в N-able для получения комментариев.
Это событие произошло на следующий день после того, как CISA добавила в каталог KEV две устаревшие, но все еще активно эксплуатируемые уязвимости от Microsoft.
Первая из них, CVE-2013-3893, является ошибкой повреждения памяти в Internet Explorer, которая может привести к удаленному выполнению кода. Ее оценка по шкале CVSS составляет 8.8.
Вторая уязвимость, CVE-2007-0671, затрагивает Microsoft Office Excel. Она также позволяет удаленно выполнить код при открытии специально созданного файла Excel и имеет оценку CVSS 8.8.
Для этих уязвимостей CISA установила федеральным ведомствам крайний срок для принятия мер — 9 сентября 2025 года. Агентство требует либо установить обновления, либо полностью прекратить использование продуктов, достигших конца срока службы (EoL), таких как Internet Explorer.
Изображение носит иллюстративный характер
Первая уязвимость, идентифицированная как CVE-2025-8875, относится к классу небезопасной десериализации. Успешная эксплуатация этой ошибки позволяет злоумышленнику выполнять произвольные команды на целевой системе.
Второй недостаток, получивший идентификатор CVE-2025-8876, представляет собой уязвимость внедрения команд. Она возникает из-за неправильной обработки пользовательского ввода, что также открывает возможность для удаленного выполнения команд.
Платформа N-able N-central — это инструмент для удаленного мониторинга и управления (RMM), который широко используется поставщиками управляемых услуг (MSP). С его помощью провайдеры обслуживают и защищают конечные устройства под управлением Windows, Apple и Linux с единой консоли.
Компания N-able уже выпустила исправления для обеих уязвимостей 13 августа 2025 года. Проблемы устранены в версиях N-central 2025.3.1 и 2024.6 HF2.
Разработчик настоятельно рекомендует всем пользователям локальных версий N-central обновиться до версии 2025.3.1. Кроме того, N-able подчеркивает важность активации многофакторной аутентификации (MFA), особенно для учетных записей администраторов, поскольку, по заявлению компании, для эксплуатации уязвимостей требуется предварительная аутентификация в системе.
В соответствии с директивой CISA, все федеральные гражданские ведомства исполнительной власти (FCEB) обязаны установить необходимые обновления для защиты от данных угроз. Крайний срок для выполнения этого требования — 20 августа 2025 года.
На данный момент точные методы и масштабы эксплуатации уязвимостей в атаках остаются неизвестными. Издание The Hacker News направило запрос в N-able для получения комментариев.
Это событие произошло на следующий день после того, как CISA добавила в каталог KEV две устаревшие, но все еще активно эксплуатируемые уязвимости от Microsoft.
Первая из них, CVE-2013-3893, является ошибкой повреждения памяти в Internet Explorer, которая может привести к удаленному выполнению кода. Ее оценка по шкале CVSS составляет 8.8.
Вторая уязвимость, CVE-2007-0671, затрагивает Microsoft Office Excel. Она также позволяет удаленно выполнить код при открытии специально созданного файла Excel и имеет оценку CVSS 8.8.
Для этих уязвимостей CISA установила федеральным ведомствам крайний срок для принятия мер — 9 сентября 2025 года. Агентство требует либо установить обновления, либо полностью прекратить использование продуктов, достигших конца срока службы (EoL), таких как Internet Explorer.
