Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa qua đã thêm hai lỗ hổng bảo mật ảnh hưởng đến N-able N-central vào danh mục Các lỗ hổng bị khai thác (KEV), viện dẫn bằng chứng về việc khai thác tích cực.
N-able N-central là một nền tảng Quản lý và Giám sát Từ xa (RMM) được thiết kế cho các Nhà cung cấp Dịch vụ Quản lý (MSP), cho phép khách hàng quản lý và bảo vệ hiệu quả các thiết bị đầu cuối Windows, Apple và Linux của khách hàng của họ từ một nền tảng hợp nhất duy nhất.
Các lỗ hổng được đề cập bao gồm:
- CVE-2025-8875: Lỗ hổng khử tuần tự không an toàn có thể dẫn đến thực thi lệnh.
- CVE-2025-8876: Lỗ hổng chèn lệnh thông qua việc xử lý không đúng cách đầu vào của người dùng.
Cả hai thiếu sót này đã được giải quyết trong các phiên bản N-central 2025.3.1 và 2024.6 HF2 được phát hành vào ngày 13 tháng 8 năm 2025. N-able cũng đang thúc giục khách hàng đảm bảo rằng xác thực đa yếu tố (MFA) được bật, đặc biệt đối với các tài khoản quản trị.
N-able cho biết: “Các lỗ hổng này yêu cầu xác thực để khai thác. Tuy nhiên, có một rủi ro tiềm ẩn đối với bảo mật của môi trường N-central của bạn, nếu không được vá. Bạn phải nâng cấp N-central tại chỗ của mình lên 2025.3.1.”
Hiện tại, vẫn chưa biết các lỗ hổng này đang bị khai thác như thế nào trong các cuộc tấn công thực tế, trong bối cảnh nào và quy mô của những nỗ lực đó là bao nhiêu. The Hacker News đã liên hệ với N-able để đưa ra bình luận và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.
Trước tình hình khai thác tích cực, các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) được khuyến nghị áp dụng các bản sửa lỗi cần thiết trước ngày 20 tháng 8 năm 2025 để bảo vệ mạng của họ.
Sự phát triển này diễn ra một ngày sau khi CISA đưa các lỗ hổng bảo mật đã hai năm tuổi ảnh hưởng đến Microsoft Internet Explorer và Office vào danh mục KEV:
- CVE-2013-3893: Lỗ hổng hỏng bộ nhớ trong Microsoft Internet Explorer cho phép thực thi mã từ xa.
- CVE-2007-0671: Lỗ hổng thực thi mã từ xa trong Microsoft Office Excel có thể bị khai thác khi một tệp Excel được tạo đặc biệt được mở để đạt được thực thi mã từ xa.
Các cơ quan FCEB có thời gian đến ngày 9 tháng 9 năm 2025 để cập nhật lên các phiên bản mới nhất hoặc ngừng sử dụng chúng nếu sản phẩm đã đạt đến trạng thái hết vòng đời (EoL), như trường hợp của Internet Explorer.
