Les défauts RMM N-centraux critiques sont activement exploités dans la nature

Les utilisateurs de la solution de surveillance et de gestion à distance (RMM) nable n-central sont invités à déployer des correctifs pour deux vulnérabilités critiques qui sont activement exploitées dans la nature. Souvent une cible pour les attaquants, le logiciel RMM est utilisé par les fournisseurs de services gérés (MSP) et les entreprises pour surveiller les postes de travail, les serveurs, les appareils mobiles et les équipements de réseautage.

The two N-central vulnerabilities, identified as CVE-2025-8875 and CVE-2025-8876 were patched in N-central 2025.3.1 and 2024.6 HF2 released on Aug. 13. The US Cybersecurity and Infrastructure Security Agency (CISA) added the flaws to its Known Exploited Vulnerabilities (KEV) catalog at the same time, indicating in-the-wild Exploitation comme zéro jours.

« Ces vulnérabilités nécessitent une authentification pour exploiter. Cependant, il existe un risque potentiel pour la sécurité de votre environnement N-central, s’il est non corrigé », a déclaré Nable dans ses notes de publication, ajoutant que les déploiements sur site nécessitent des correctifs.

Selon les statistiques de la Fondation ShadowServer, une organisation qui suit les statistiques de vulnérabilité en collaboration avec le gouvernement britannique, il y a encore plus de 780 serveurs N-centraux vulnérables exposés à Internet sur la base d’un nombre d’IP unique, avec la majorité en Amérique du Nord (415) et en Europe (239). Pendant ce temps, le moteur de recherche de l’appareil Internet Shodan affiche plus de 3 000 résultats pour N-Central.

Le risque est particulièrement élevé car N-Central est un produit destiné aux MSP qui l’utilisent ensuite pour gérer et surveiller les environnements de milliers de petites et moyennes entreprises. Le développeur du produit, Nable, est la précédente activité MSP de Solarwinds qui a été transférée dans une entreprise distincte en 2021.

Les logiciels MSPS et RMMS offrent des cibles de choix

Bien qu’il n’y ait pas beaucoup de détails sur les deux vulnérabilités, l’une est décrite comme un défaut d’injection de commande via une désinfection incorrecte de l’entrée des utilisateurs (CVE-2025-8876) et l’autre comme une vulnérabilité de désérialisation non sécurisée qui pourrait conduire à l’exécution des commandes (CVE-2025-8875).

La désérialisation est le processus par lequel un langage de programmation convertit les données d’un flux d’octets utilisé pour la transmission en un format utilisable. Cette opération d’analyse de données a toujours été une source de vulnérabilités critiques d’exécution de code à distance dans de nombreuses applications.

Il n’est pas clair si un exploit réussi contre N-Central nécessite de chaîner les deux vulnérabilités ensemble. On ne sait pas non plus quels privilèges existants sont nécessaires pour initier l’exploit. Malgré l’attaque de l’authentification, les deux défauts sont évalués avec un score CVSS de 9,4 sur 10, ce qui indique la gravité critique.

Au cours des dernières années, plusieurs groupes de ransomwares ont exploité des vulnérabilités dans le logiciel RMM pour cibler les MSP, car l’accès aux outils ou environnements MSP peut leur fournir un accès à des centaines ou des milliers de réseaux d’entreprise en aval. En 2021, le gang Revil Ransomware a exploité une vulnérabilité zéro-jour dans un outil de gestion à distance utilisé par les MSP appelée Kaseya VSA pour compromettre les organisations et les MSP.

Les groupes de cyberespionnage (APT) ont également ciblé les MSP, avec un exemple étant le typhon de soie, un groupe chinois spécialisé dans les attaques de chaîne d’approvisionnement. Microsoft a averti en mars que le typhon de soie cible régulièrement les services informatiques et les fournisseurs d’infrastructures, les sociétés de surveillance et de gestion à distance (RMM), les fournisseurs de services gérés (MSP) et leurs affiliés.