CISA ha emitido advertencias urgentes con respecto a dos vulnerabilidades de seguridad críticas en el software N-Central Remote Monitoring and Monitoring (RMM) que los actores de amenaza están explotando activamente.
Las vulnerabilidades, identificadas como CVE-2025-8875 y CVE-2025-8876, plantean riesgos significativos para las organizaciones que utilizan esta plataforma de gestión de TI ampliamente desplegada.
Control de llave
1. Dos vulnerabilidades críticas de N-Central Nable se explotaron activamente para la ejecución de código remoto.
2. Fecha límite de CISA: 20 de agosto de 2025, para soluciones obligatorias.
3. Actualizar o suspender el uso de inmediato.
Vulnerabilidad de deserialización
La primera vulnerabilidad, CVE-2025-8875, representa una vulnerabilidad de deserialización insegura que podría conducir a una ejecución arbitraria de comandos en los sistemas afectados.
Los ataques de deserialización ocurren cuando los datos no confiables se procesan mediante el mecanismo de deserialización de una aplicación, lo que puede permitir a los atacantes manipular los estados de objetos y ejecutar código malicioso.
Este defecto particular en la arquitectura N-Central N-Central crea una vía para que los atacantes remotos obtengan acceso y control no autorizados sobre los sistemas administrados.
La naturaleza técnica de esta vulnerabilidad radica en el manejo inadecuado de objetos serializados dentro de la plataforma N-Central.
Cuando la aplicación deserializa la entrada controlada por el usuario sin una validación adecuada, crea un vector de ataque que los actores de amenaza sofisticados pueden explotar para evitar los controles de seguridad y establecer un acceso persistente a las redes de destino.
Las implicaciones del sistema de puntuación de vulnerabilidad común (CVSS) de este defecto lo convierten en una preocupación de alta prioridad para los equipos de seguridad.
Vulnerabilidad de inyección de comandos
La segunda vulnerabilidad, CVE-2025-8876, implica una vulnerabilidad de inyección de comando derivada de la desinfección incorrecta de la entrada del usuario dentro de la aplicación N-Central.
Los ataques de inyección de comandos permiten a los actores maliciosos ejecutar comandos arbitrarios del sistema manipulando campos de entrada que son procesados por el sistema operativo subyacente sin un filtrado o validación adecuado.
Esta vulnerabilidad se dirige específicamente a los mecanismos de validación de entrada dentro de la interfaz de usuario de N-Central, donde los procedimientos insuficientes de desinfección de entrada no evitan la ejecución de comandos de shell inyectados.
Los atacantes pueden aprovechar potencialmente esta debilidad para ejecutar comandos a nivel de sistema, acceder a archivos confidenciales, modificar las configuraciones del sistema o instalar software malicioso en sistemas comprometidos.
Mitigaciones
CISA ha establecido una línea de tiempo de remediación agresiva, que requiere que las organizaciones implementen mitigaciones antes del 20 de agosto de 2025, solo una semana después de que se agregaran las vulnerabilidades al catálogo de vulnerabilidades explotadas (KEV) conocidas el 13 de agosto.
La urgencia refleja la explotación activa de estas vulnerabilidades en los escenarios de ataque del mundo real.
Las organizaciones deben aplicar inmediatamente los parches y las mitigaciones proporcionadas por los proveedores, seguir la Directiva Operacional vinculante aplicable (BOD) 22-01 Guía para los servicios en la nube o descontinuar el uso de las implementaciones de N-Central afectadas si las mitigaciones adecuadas no están disponibles.
N-Eable ha lanzado la versión 2025.3.1 de N-Central para abordar estos problemas de seguridad.
Si bien la conexión a las campañas de ransomware sigue siendo desconocida, la combinación de vulnerabilidades de inyección de deserialización e comandos crea una potente superficie de ataque que los actores de amenaza podrían explotar para el acceso inicial, el movimiento lateral y el despliegue de carga útil en las redes empresariales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
