(https://i.imgur.com/oOQOZuE.png)
Se ha confirmado que más de 800 servidores N-able N-central siguen sin aplicar los últimos parches de seguridad, lo que los deja expuestos a vulnerabilidades críticas ya catalogadas como explotadas activamente. Las fallas, registradas bajo las referencias CVE-2025-8875 y CVE-2025-8876, afectan a una de las plataformas más utilizadas por proveedores de servicios administrados (MSP) y equipos de tecnología de la información, lo que aumenta el nivel de riesgo sistémico para organizaciones públicas y privadas a nivel global.
N-central es una plataforma ampliamente adoptada que facilita el monitoreo y la administración remota de redes, endpoints y dispositivos a través de una consola basada en la web. Esto la convierte en un objetivo muy valioso para los atacantes, ya que comprometer un servidor vulnerable podría proporcionar acceso directo a una gran cantidad de sistemas gestionados por los MSP.
De acuerdo con los detalles publicados, CVE-2025-8875 permite la inyección de comandos mediante la explotación de una desinfección insuficiente de entradas por parte del sistema. Por otro lado, CVE-2025-8876 permite la ejecución de código no autorizado aprovechando una debilidad en el proceso de deserialización insegura. Lo más preocupante es que ambas vulnerabilidades pueden ser explotadas por un atacante autenticado, lo cual reduce significativamente las barreras técnicas para comprometer un sistema si previamente se obtiene acceso a una cuenta válida (por medios como phishing o robo de credenciales).
N-able ya lanzó parches de seguridad, en concreto con la versión N-central 2025.3.1, e informó que se ha detectado actividad maliciosa en entornos locales. Aunque por el momento no se tiene constancia de explotación en las instancias en la nube alojadas por la propia compañía, los expertos advierten que la ventana de ataque sigue abierta para todos aquellos servidores en instalaciones locales que aún no han sido actualizados.
En declaraciones a BleepingComputer, la empresa indicó: "Nuestras investigaciones han identificado indicios claros de explotación en un número limitado de entornos locales. Recomendamos aplicar la actualización a la versión 2025.3.1 lo antes posible. Según nuestra política de seguridad, los detalles completos de los CVE se publicarán tres semanas después del lanzamiento".
Panorama actual de exposiciónEl seguimiento realizado por la Shadowserver Foundation, una organización sin fines de lucro especializada en el análisis de amenazas de Internet, evidencia que 880 servidores N-central aún se encuentran vulnerables y accesibles en línea, principalmente ubicados en Estados Unidos, Canadá y Países Bajos. Esta cifra representa un riesgo considerable, especialmente si se tiene en cuenta que según las consultas realizadas en Shodan, existen aproximadamente 2.000 instancias de N-central expuestas públicamente en Internet.
La propia Shadowserver advierte que los resultados se basan en IPs únicas y que una misma IP puede haber sido contabilizada más de una vez, por lo que la cifra debe tratarse como un valor indicativo. Sin embargo, los analistas coinciden en que el alcance real podría ser incluso mayor.
Respuesta del Gobierno y recomendaciones urgentesLa situación ha captado la atención de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), que ha agregado las dos vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Exploitable (KEV), clasificándolas como ataques de día cero. Como parte de las medidas establecidas por la Directiva Operativa Vinculante (BOD) 22-01, la CISA exige que todas las agencias del Poder Ejecutivo Civil Federal (FCEB) —incluidas entidades como el Departamento de Seguridad Nacional, el Departamento de Energía y el Departamento del Tesoro— apliquen los parches correspondientes antes del 20 de agosto.
Si bien las organizaciones del sector privado y no gubernamental no están obligadas por esta directiva, la CISA emitió un llamado urgente a todos los administradores de red indicando:
Citar"Aplique inmediatamente las mitigaciones proporcionadas por el proveedor, siga las recomendaciones de la BOD 22-01 aplicables a entornos en la nube o, en caso de no contar con mitigaciones disponibles, detenga temporalmente el uso del producto".
Este lenguaje subraya la naturaleza crítica de las vulnerabilidades, ya que este tipo de fallas constituyen un vector de ataque frecuente para los actores cibernéticos, especialmente grupos de ransomware, ciberespionaje y operaciones dirigidas contra infraestructuras críticas.
Recomendaciones de seguridad para directores de TI y MSPPara reducir los riesgos asociados a estas vulnerabilidades, se recomienda a las organizaciones adoptar una serie de buenas prácticas inmediatas:
1. Aplicar el parche sin demoraEl paso más importante es actualizar a la versión N-central 2025.3.1. Ninguna medida compensatoria ofrece la misma protección que el parche oficial.
2. Analizar registros de actividad
Revisar logs en busca de conexiones sospechosas o intentos de ejecución de comandos inusuales desde cuentas autenticadas.
3. Habilitar autenticación multifactor (MFA)
Esto reduce significativamente la posibilidad de que cuentas robadas puedan ser utilizadas por atacantes para explotar vulnerabilidades autenticadas.
4. Restringir el acceso externo
Limitar la exposición directa del servidor N-central a Internet mediante el uso de VPN o segmentación de red.
5. Incorporar detección de comportamiento
Implementar herramientas de seguridad capaces de detectar actividad maliciosa basada en comportamiento (UEBA o EDR).
Fuente: https://www.bleepingcomputer.com