最近、N-able N-centralにおいて発見された2つの深刻なセキュリティ脆弱性(CVE-2025-8875、CVE-2025-8876)が、実際の攻撃に悪用されており、世界中のMSP(Managed Service Provider)やIT部門に深刻な脅威をもたらしています。N-centralは、MSPやITチームがネットワークやエンドポイントを一元的にリモート監視・管理できるRMM(Remote Monitoring and Management)プラットフォームです。米国サイバーセキュリティ庁(CISA)は、これらの脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦機関に対して緊急パッチの適用を命じました。
本記事では、これらの脆弱性の概要と脅威の現状を整理し、Criminal IPを活用した検知および対応策をご紹介します。
CVE-2025-8875/CVE-2025-8876 脆弱性の概要
- CVE-2025-8875(コマンドインジェクション)
- ユーザー入力の検証が不十分であるため、認証済みの攻撃者がシステムコマンドを注入できる脆弱性
- CVE-2025-8876(安全でないデシリアライゼーション)
- 安全でないデシリアライゼーションのロジックを悪用することで、リモートから任意のコマンドを実行できる脆弱性
これら2つの脆弱性はいずれも権限昇格やリモートコマンド実行につながる可能性があり、攻撃者がN-centralサーバーと接続されたMSP顧客企業のIT資産まで侵害できる点で深刻です。
N-ableはすでに2025.3.1バージョンにてセキュリティパッチを公開しており、未更新の環境については直ちに対応する必要があります。
N-centralゼロデイ脅威の現状:世界で2,140台のサーバーが公開される
Criminal IPのIT資産検索機能を活用することで、攻撃者が狙うのと同じ条件の機器を迅速に特定でき、特定のN-centralサーバー詳細ページを分析することで、実際にどのようなセキュリティリスクが存在するのかを具体的に確認できます。以下では、IT資産検索機能を通じて分析した主なセキュリティ上の課題をご紹介します。
Criminal IPの検索クエリ: title:“N-central Login Redirect”
Criminal IP IT資産検索の結果によると、title: “N-central Login Redirect” クエリに基づく検索で、合計2,140件のN-central資産が検出されました。
検出された約2,000件のIT資産の中には、2025.3.1バージョンにアップグレードされていないサーバーも含まれており、攻撃者が実際にスキャンを通じてアクセス可能な管理サーバーが依然として多数存在することを意味します。
さらに、Criminal IPは基本的な検索結果に加え、国・地域単位で細分化された要素分析情報も提供しており、画面右下の「もっと見る」ボタンをクリックすることで、該当する詳細結果を確認できます。
検出された N-centralサーバーを保有する国は20カ国以上に上り、その中で最も多く確認されたのは米国(873件)でした。続いて、ドイツ(230件)、オーストラリア(193件)、オランダ(183件)、英国(169件)が上位5カ国を占めています。これは、特定地域のMSPや企業環境においてN-centralが広く利用されていることを示しており、パッチ適用が遅れる場合、CVE-2025-8875およびCVE-2025-8876のようなゼロデイ脆弱性攻撃に集中的に悪用されるリスクが高いことを意味します。
Criminal IPによる N-centralゼロデイ(CVE-2025-8875、CVE-2025-8875)IT資産の検出と対応分析
単純な検索結果にとどまらず、特定の N-centralサーバー の詳細レポートを開くことで、どのようなリスク要素が存在するのかをさらに具体的に確認できます。
Criminal IPのIPアドレス詳細レポートで確認されたあるN-centralサーバーは、Self-Signed SSL証明書を使用しており、これは信頼できない認証体系を意味し、攻撃者にとって脆弱なポイントとして悪用される可能性があります。
さらに、合計で10個のオープンポートと5件の脆弱性が確認されており、攻撃者が侵入経路として利用できる多様な手段を提供している状況です。
当該サーバーの TCP 443(HTTPS)ポート は「N-central Login Redirect」というタイトルで外部にそのまま公開されていました。これは、攻撃者が直接ログインページにアクセスし、認証回避や脆弱性を利用した攻撃を試みる可能性があることを示しています。特に、CVE-2025-8875(コマンドインジェクション) や CVE-2025-8876(安全でないデシリアライゼーション) といった脆弱性が組み合わさった場合、リモートで制御権限を奪取される危険性につながります。
Criminal IPでは、脆弱性に関連する公開PoC(Proof-of-Concept)コードの有無も提供しています。これは、攻撃者が実際の攻撃に容易に利用できるツールへと変質する可能性があります。したがって、単にポートが開いているかどうかだけでなく、すでに攻撃再現コードが公開されているか否かまで確認することが重要です。
N-centralゼロデイへの対応策
- 直ちにパッチを適用
- N-centralを2025.3.1以降のバージョンへアップデート
- ベンダーの推奨に基づくセキュリティ設定の強化
- 公開IT資産の点検
- Criminal IPを活用した title: “N-central Login Redirect” 検索
- SSL証明書およびバージョンベースのフィルタリングによる未パッチサーバーの特定
- セキュリティモニタリングの強化
- サーバーログの点検と不正コマンド実行の検知
- 認証されていないアカウント作成の有無を確認
- 代替策の検討
- パッチ適用が不可能な場合は、インターネット公開の遮断およびサービス停止を検討
結論
N-able N-centralは、多くのMSPやIT部門で利用されている中核的な管理プラットフォームであり、今回の脆弱性悪用は単一サーバーの侵害にとどまらず、連鎖的なサプライチェーン攻撃へと拡大する可能性があります。
管理者は、パッチ適用の遅延によるリスクがMSP顧客全体へ波及し得ることを認識し、直ちにセキュリティ対策を講じる必要があります。また、Criminal IPのような攻撃対象領域管理(ASM)や脅威インテリジェンスツールを活用し、公開IT資産を特定するとともに、継続的にセキュリティ状態を点検することが不可欠です。
データソース:Criminal IP(https://www.criminalip.io/ja)
