Hack Alerta

Cadeia de falhas no N-able N-central permite leitura de arquivos sensíveis e já recebeu correção

Por Redação Hack Alerta Publicado em 20/11/2025 10:02 Vazamento de dados Tempo de leitura: 3 min

Horizon3.ai descreve uma cadeia de vulnerabilidades em N‑able N‑central (CVE‑2025‑9316 e CVE‑2025‑11700) que permite bypass de autenticação, leitura de arquivos e exfiltração de segredos. N‑able lançou a versão 2025.4.0.9 em 05/11/2025 para mitigar os endpoints SOAP legados; organizações devem atualizar e rotacionar credenciais expostas.

Pesquisadores da Horizon3.ai detalharam uma cadeia de vulnerabilidades em N‑able N‑central que permite a um atacante não autenticado obter IDs de sessão, ler arquivos arbitrários e, por fim, exfiltrar segredos de configuração — a falha foi mitigada na versão 2025.4.0.9, segundo as fontes.

Panorama e CVEs

Horizon3.ai identificou falhas que, quando encadeadas, permitem bypass de autenticação e leitura de arquivos via XXE. As vulnerabilidades são catalogadas como CVE‑2025‑9316 (Authentication Bypass via Weak Authentication Method, CVSS 9.1) e CVE‑2025‑11700 (XML External Entity — XXE — information leak, CVSS 8.2). A matéria da Cyber Security News resume o trabalho e a demonstração do ataque.

Vetor e sequência de exploração

Segundo o relatório:

  • CVE‑2025‑9316 explora um método fraco de autenticação na API legada SOAP para obter session IDs válidos sem credenciais.
  • Com o session ID, o atacante pode explorar CVE‑2025‑11700 (XXE) para ler arquivos do sistema de arquivos do servidor.
  • Os pesquisadores demonstraram leitura de /opt/nable/var/ncsai/etc/ncbackup.conf, que inclui credenciais de backup de banco de dados em texto claro.

O acesso ao backup do banco de dados expõe chaves e segredos de integração — domain credentials, chaves de API, chaves privadas SSH e entradas de base de dados encriptadas — que podem ser decriptadas quando o atacante obtém os artefatos criptográficos (masterPassword e keystore.bcfks) presentes no backup.

Superfície de ataque e escala

Ferramentas de pesquisa de superfície (Shodan) indicam aproximadamente 3.000 instâncias de N‑central expostas na internet, elevando o potencial de impacto. A exploração remota sem autenticação, combinada com a capacidade de decriptar segredos extraídos, aumenta o risco de comprometimento total da infraestrutura gerenciada.

Correção e recomendações

N‑able lançou a versão 2025.4.0.9 em 5 de novembro de 2025, restringindo o acesso aos endpoints SOAP legados vulneráveis. As recomendações divulgadas incluem atualização imediata para a versão corrigida e revisão de logs — Horizon3.ai sugere procurar entradas "Failed to import service template" no dmsservice.log como possível indicador de exploração.

Além disso, as organizações devem rotacionar segredos expostos nos backups, revisar integrações que dependam das credenciais armazenadas e aplicar controles de rede para restringir o acesso à interface de gestão.

Limites das informações

As fontes descrevem a prova de conceito e o patch disponibilizado pela N‑able; não há menção de exploração em larga escala confirmada antes da correção, nem de indicadores de compromisso difundidos publicamente além dos arquivos citados.

Implicações operacionais

RMMs são um alvo de alto valor porque concentram credenciais e acesso a endpoints; uma cadeia que permita exfiltrar backups e decriptar segredos pode levar a comprometimentos em cascata em ambientes gerenciados. A atualização imediata, a rotação de credenciais e o fortalecimento do perímetro de gestão devem ser prioridades para provedores MSP e clientes que utilizam N‑central.

Baseado em publicação original de Cyber Security News
Tags: #n-able #n-central #rmm #cve-2025-9316 #cve-2025-11700 #horizon3 #backup #exfiltration #shodan
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar