RMM 製品 N-centralの脆弱性が悪用の可能性-CISAがKEVに追加(CVE-2025-8875)

セキュリティニュース

投稿日時: 更新日時:

RMM 製品 N-centralの脆弱性が悪用の可能性-CISAのKEVに追加(CVE-2025-8875)

米国CISAは、N-able社のRMM製品「N-central」に関する脆弱性の悪用を確認し、うちCVE-2025-8875(不適切なデシリアライゼーション)

Known Exploited Vulnerabilities(KEV)に追加しました(追加日:2025年8月13日、対応期限:8月20日)。

同時に、CISAはCVE-2025-8876(入力値の不適切なサニタイズ)についても攻撃が確認されていると注意喚起しており、MSPや企業のIT部門は早急な対処が必要です。

概要

N-centralは、MSPや社内ITがクライアント端末やネットワークを集中管理するためのRMM基盤です。CISAによれば、以下の2件が攻撃に悪用されています。

  • CVE-2025-8875:不適切なデシリアライゼーションによりコマンド実行に至る恐れがある脆弱性。

  • CVE-2025-8876:ユーザー入力の不適切なサニタイズによりコマンド注入が可能となる脆弱性。

CISAのKEVには現時点でCVE-2025-8875が登録済みです(CISAの公開カタログでは当該CVSのみ表示)。一方、記事ベースでは両脆弱性とも悪用が確認されているため、2件まとめて対処する前提で計画を立てるべきです。

ベンダー対応と影響範囲

N-ableはN-central 2025.3.1で修正を提供済みで、オンプレミス環境に限定した一部悪用の痕跡を確認した一方、クラウドホスト環境での悪用は未確認と説明しています。公開スキャン情報では、約2,000インスタンスがインターネット上に露出しているとされ、地域は米国、オーストラリア、ドイツなどに偏在しています。露出している環境は攻撃リスクが高く、即時の遮断・更新が必要です。

CISAの要求事項(KEV)

  • 対象CVE:CVE-2025-8875(N-able N-central/不適切なデシリアライゼーション)

  • KEV追加日:2025年8月13日

  • 対応期限(FCEB機関):2025年8月20日

  • 推奨対応:ベンダー指示に従い速やかに緩和策・パッチ適用、BOD 22-01のクラウドサービス関連ガイダンスに準拠、代替策がない場合は利用停止も検討

※BOD 22-01は米連邦政府機関向けですが、CISAは民間企業にも優先的な是正を強く推奨しています。

管理者が今すぐ実施すべき対策

  1. バージョン確認と即時更新:オンプレのN-centralを2025.3.1へアップグレードします(暫定回避策では不十分です)。

  2. 外部露出の遮断:管理UIや関連ポートのインターネット直結を禁止し、VPN/ゼロトラスト経由の限定アクセスに切り替えます。

  3. 資格情報の見直し:管理者・APIキーのローテーション、不要アカウントの棚卸・無効化を行います。

  4. ログ調査と監視強化

    • 直近期間の認証ログ・コマンド実行ログをレビューし、異常(深夜帯の管理操作、未知IPからのアクセス、想定外のタスク配布)を精査します。

    • SIEM/EDRでコマンド注入・リモート実行のシグナル(PowerShell濫用、スクリプト配布、横展開の痕跡)を重点監視します。

  5. ネットワーク分離:RMMサーバからの到達範囲を最小化(ACL/セグメンテーション)し、横移動の阻止を図ります。

  6. インシデント対応計画の更新:MSP連携やRMM踏み台リスクを想定したプレイブックを整備します。