Souvent la cible des cybercriminels, les logiciels de surveillance et de gestion à distance RMM (Remote Monitoring and Management) sont utilisés par les prestataires tiers (MSP) et les entreprises pour surveiller les postes de travail, les serveurs, les terminaux mobiles et les équipements réseau. Dans l’outil N-Central de N-able, deux failles critiques référencées CVE-2025-8875 et CVE-2025-8876. Elles ont été corrigées dans les versions N-central 2025.3.1 et 2024.6 HF2 publiées le 13 août dernier. Mais la CISA (cybersecurity and infrastructure security agency) a ajouté ces vulnérabilités à son catalogue des failles. L’agence indique qu’elles sont exploitées en tant que zero-days. « Ces vulnérabilités nécessitent une authentification pour être exploitées. Cependant, elles présentent un risque pour la sécurité des environnements N-central si elles ne sont pas corrigées », a déclaré N-able dans ses notes de mise à jour, ajoutant que les déploiements sur site nécessitaient l'application de correctifs.

Selon les statistiques de la Shadowserver Foundation, une organisation qui assure le suivi des statistiques sur les vulnérabilités en collaboration avec le gouvernement britannique, il y a encore plus de 780 serveurs N-central vulnérables exposés à Internet, d'après le nombre d'adresses IP uniques, la majorité se trouvant en Amérique du Nord (415) et en Europe (239). Parallèlement, le moteur de recherche de dispositifs connectés à Internet Shodan affiche plus de 3 000 résultats pour N-central. Le risque est particulièrement élevé, car l’outil est un produit destiné aux MSP qui l'utilisent ensuite pour gérer et surveiller les environnements de milliers de petites et moyennes entreprises. Le développeur du produit, N-able, est l'ancienne activité MSP de SolarWinds qui a été scindée en une société distincte en 2021.

Un historique d'attaques

Même si l’on ne dispose pas de beaucoup de détails sur les deux vulnérabilités, la CVE-2025-8876 est décrite comme une faille d'injection de commande due à une désinfection inadéquate des entrées utilisateur et la CVE-2025-8875 comme une vulnérabilité de désérialisation non sécurisée pouvant conduire à l'exécution de commandes. La désérialisation est le processus par lequel un langage de programmation convertit les données d'un flux d'octets utilisé pour la transmission en un format utilisable. Cette opération d'analyse des données a toujours été une source de vulnérabilités critiques d'exécution de code à distance dans de nombreuses applications. Il n'est pas certain qu'une exploitation réussie contre N-central nécessite de combiner les deux vulnérabilités. On ignore également quels privilèges existants sont nécessaires pour lancer l'exploitation. Même si elles nécessitent une authentification pour être exploitées, les deux failles ont été affectées d’un score CVSS de 9,4 sur 10, ce qui indique une sévérité importante.

Ces dernières années, plusieurs groupes de ransomware ont exploité les vulnérabilités des logiciels RMM pour cibler les MSP, car en accédant aux outils ou aux environnements MSP, ils peuvent avoir accès à des centaines, voire à des milliers de réseaux d'entreprises en aval. En 2021, le groupe de ransomware REvil a exploité une vulnérabilité zero-day dans un outil de gestion à distance utilisé, appelé Kaseya VSA, pour compromettre des entreprises et des MSP. Les groupes de cyber-espions (APT) ont également ciblé les MSP : c’est le cas par exemple de Silk Typhoon, un groupe chinois spécialisé dans les attaques de la supply chain. Microsoft a averti en mars que Silk Typhoon ciblait régulièrement les fournisseurs de services et d'infrastructures IT, les sociétés de surveillance et de gestion à distance (RMM), les fournisseurs de services gérés (MSP) et leurs filiales.