N-ableのN-centralサーバー800台以上に、先週悪用が活発化したと指摘された2つの重大なセキュリティ脆弱性に対するパッチが適用されていない。
N-central は、多くのマネージド・サービス・プロバイダー(MSP)や IT 部門が、集中型ウェブ・ベース・コンソールからネットワークやデバイスを監視・管理するために使用する人気のプラットフォームです。
CVE-2025-8875およびCVE-2025-8876として追跡されているこの2つの欠陥は、それぞれ認証された攻撃者がユーザー入力の不適切なサニタイズによりコマンドを注入したり、安全でないデシリアライズの弱点を悪用してパッチの適用されていないデバイス上でコマンドを実行したりする可能性があります。
N-ableは、N-central 2025.3.1でこれらのパッチを適用し、木曜日に、セキュリティバグが現在活発に悪用されていると発表した。
「我々のセキュリティ調査では、限られたオンプレミス環境でこの種の悪用の証拠が見つかっている。N-ableがホストしているクラウド環境では、悪用の証拠は見つかっていません。
「オンプレミスのN-centralを2025.3.1にアップグレードする必要があります。(CVEの詳細は、当社のセキュリティ慣行に従って、リリースから3週間後に公開されます)」と、N-ableは水曜日の勧告で付け加えた。
金曜日、インターネット・セキュリティの非営利団体Shadowserver Foundationは、2つの脆弱性を悪用した攻撃に対してまだ脆弱なN-centralサーバーを880台追跡しており、そのほとんどは米国、カナダ、オランダにある。
これらの結果は、ユニークIPのカウントを合計して算出したものであるため、”ユニーク “IPが複数回カウントされている可能性があります。Shadowserverは、「これらの数値は正確なものではなく、あくまで参考値として扱われるべきものです」と述べている。
Shodanの 検索によると、合計で約2,000のN-centralインスタンスが現在オンラインで公開されている。
連邦政府機関は1週間以内に緩和するよう命令
CISAはまた、この欠陥を Known Exploited Vulnerabilities Catalogに 追加し、N-ableがこの欠陥が悪用されていることを確認する1日前に、ゼロデイ攻撃で悪用されているとタグ付けした。
米国のサイバーセキュリティ機関は、2021年11月の拘束的業務指令(BOD)22-01で義務付けられている通り、国土安全保障省、財務省、エネルギー省を含むすべての連邦民間行政機関(FCEB)に対し、8月20日までに1週間以内にシステムにパッチを当てるよう命じた。
BOD 22-01は主に米国連邦政府機関を対象としているため、政府機関以外の組織は対策を講じる必要はないが、CISAはすべてのネットワーク防御者に対して、進行中の攻撃からシステムを保護するよう促した。
「ベンダーの指示に従って緩和策を適用するか、クラウド・サービスに適用されるBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とCISAは述べている。
「この種の脆弱性は、悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、連邦政府企業にとって重大なリスクとなる。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments