N-central Comprometido: CISA Confirma Exploração Ativa de CVE-2025-8875 e CVE-2025-8876

Plataforma RMM utilizada por MSPs e departamentos de TI sob ataque coordenado através de desserialização insegura e injeção de comandos

A CISA emitiu alerta crítico confirmando exploração ativa de duas vulnerabilidades na plataforma N-central da N-able, amplamente utilizada por provedores de serviços gerenciados (MSPs) e departamentos de TI corporativos. As falhas CVE-2025-8875 e CVE-2025-8876 permitem execução remota de comandos através de desserialização insegura e injeção de comandos, comprometendo consoles centralizados que gerenciam milhares de dispositivos e redes empresariais.

Vulnerabilidades Exploradas Ativamente

As investigações da CISA revelaram exploração coordenada de falhas críticas no N-central RMM:

• CVE-2025-8875: Desserialização insegura permitindo execução remota de código por usuários autenticados
• CVE-2025-8876: Injeção de comandos via sanitização inadequada de entradas de usuário
• 2.000 instâncias expostas: Shodan identifica exposição pública principalmente em EUA, Austrália e Alemanha
• Patch disponível: Versão 2025.3.1 corrige ambas vulnerabilidades

Risco Amplificado em Infraestruturas MSP

O comprometimento de plataformas RMM representa multiplicação exponencial de riscos, onde uma única instância comprometida pode afetar centenas de clientes. A natureza centralizada do N-central significa que atacantes obtêm acesso privilegiado a múltiplas redes corporativas através de um único ponto de entrada, transformando MSPs em vetores de ataques em massa contra suas bases de clientes.

SNOC: Monitoramento Independente de Plataformas RMM

Um SNOC implementa controles de segurança que protegem contra comprometimento de ferramentas de gerenciamento centralizadas:

Proteção Multi-Camada contra RMM Comprometido:

• Monitoramento comportamental de consoles administrativos e detecção de anomalias de acesso
• Correlação de logs de múltiplas ferramentas RMM evitando dependência de ponto único
• Detecção de execução de comandos não autorizados através de análise de processos
• Implementação de controles de acesso baseados em Zero Trust para ferramentas de gerenciamento

Resposta Coordenada a Comprometimento RMM

Organizações dependentes do N-central devem implementar verificações imediatas e controles compensatórios:

1. Atualização emergencial para versão 2025.3.1 em todas as instâncias N-central antes de 20 de agosto conforme BOD 22-01
2. Auditoria de atividades administrativas dos últimos 90 dias focando em comandos executados por usuários autenticados
3. Implementação de monitoramento independente para detectar atividades anômalas em sistemas gerenciados via N-central
4. Segmentação de rede isolando consoles RMM de redes de produção com controles de acesso restritivos

O comprometimento de plataformas RMM como o N-central demonstra como ferramentas de gerenciamento centralizadas se tornaram alvos de alto valor para campanhas APT. SNOC com monitoramento distribuído detecta atividades anômalas mesmo quando ferramentas RMM são comprometidas, mantém visibilidade através de correlação independente e executa contenção automática que preserva capacidades operacionais enquanto elimina vetores de ataque, evitando cenários de comprometimento em massa que podem custar R$ 47,2 milhões para MSPs com 500+ clientes corporativos.

Fontes:

• Cybersecurity and Infrastructure Security Agency (CISA) – Alerta CVE-2025-8875/8876
• N-able Security Advisory – N-central Versão 2025.3.1
• CISA Binding Operational Directive (BOD) 22-01 – Known Exploited Vulnerabilities