Schwachstellen & Exploits

RMM-Systeme im Visier –N-able N-central Schwachstellen

Am 15. August 2025 meldete die Shadowserver Foundation, dass über 1.000 N-able N-central Instanzen weltweit noch ungepatcht gegen die Sicherheitslücken CVE-2025-8875 und CVE-2025-8876 waren. Beide Schwachstellen wurden in den Known Exploited Vulnerabilities (KEV)-Katalog der CISA aufgenommen — eine Bestätigung, dass sie bereits aktiv ausgenutzt werden.

Warum RMM-Systeme hochwertige Ziele sind

N-central ist eine Remote-Monitoring-and-Management-Lösung (RMM), die vor allem von Managed Service Providern (MSPs) genutzt wird, um Kundensysteme zentral zu überwachen und zu administrieren. Ein kompromittiertes RMM-System ist für Angreifer der Jackpot: Es bietet administrative Kontrolle über hunderte oder tausende Endpunkte gleichzeitig — über alle Kunden des MSP hinweg.

Die Angriffsfläche ist enorm: RMM-Tools haben per Design privilegierten Zugriff auf alle verwalteten Systeme. Wer das RMM kontrolliert, kann Software installieren, Konfigurationen ändern, Daten exfiltrieren und Ransomware ausrollen — auf allen verwalteten Geräten gleichzeitig. Der Kaseya-Vorfall im Juli 2021 demonstrierte dieses Szenario in der Praxis: Über eine Schwachstelle in Kaseya VSA wurden mehr als 1.500 Unternehmen weltweit mit REvil-Ransomware infiziert.

Die Schwachstellen im Detail

CVE-2025-8875 und CVE-2025-8876 ermöglichen Angreifern die nicht autorisierte Ausführung von Befehlen auf verwundbaren N-central-Instanzen. Laut Shadowserver sind die USA, Kanada, die Niederlande und Großbritannien besonders stark betroffen.

N-able hat die Schwachstellen mit Version N-central 2025.3.1 behoben. Shadowserver integrierte die Erkennung beider CVEs Mitte August 2025 in seine täglichen Scans und benachrichtigt betroffene Betreiber direkt.

Supply-Chain-Risiko durch MSPs

Der Fall verdeutlicht ein strukturelles Problem: MSPs sind Single Points of Failure für ihre Kunden. Ein kompromittierter MSP kompromittiert potenziell alle seine Kunden — ein klassisches Supply-Chain-Risiko. Die NIS2-Richtlinie adressiert dieses Risiko explizit: Unternehmen müssen die Sicherheit ihrer IT-Dienstleister in ihr Risikomanagement einbeziehen.

Für Unternehmen, die MSP-Dienste nutzen, stellen sich konkrete Fragen:

Welche RMM-Lösung nutzt mein MSP — und ist sie aktuell gepatcht?
Hat mein MSP einen dokumentierten Patch-Management-Prozess?
Wie schnell reagiert mein MSP auf CISA-KEV-Einträge?
Gibt es Netzwerksegmentierung zwischen den Kunden des MSP?

Handlungsempfehlungen

Sofort patchen: Alle N-central-Instanzen auf Version 2025.3.1 oder höher aktualisieren
MSP-Kunden: Ihren Dienstleister aktiv nach dem Patch-Status fragen — nicht darauf warten, dass er sich meldet
RMM-Zugriffe im SIEM überwachen: Alle administrativen Aktionen über RMM-Tools protokollieren und auf Anomalien prüfen
Netzwerksegmentierung: RMM-Server in einem dedizierten Segment betreiben, nicht im gleichen Netz wie Produktionssysteme
Conditional Access: RMM-Zugriffe auf autorisierte IPs und Geräte beschränken

J. Benjamin Espagné

Patchen allein reicht nicht – RMM-Systeme brauchen strukturiertes Vulnerability Management

Schwachstellen in RMM-Systemen sind besonders gefährlich, weil diese direkten Zugriff auf Kundennetze haben. Ein erfolgreicher Angriff kann zum IT-Supergau führen – vergleichbar mit den Folgen des SolarWinds-Hacks. Wer hier nicht schnell handelt, riskiert nicht nur die eigene Infrastruktur, sondern gleich das gesamte Ökosystem an Kundensystemen.

Das Beispiel zeigt deutlich: reaktives Patchen reicht nicht. Unternehmen brauchen ein strukturiertes Vulnerability Management, das Schwachstellen automatisch identifiziert, Risiken priorisiert und Updates kontrolliert ausrollt. Ebenso wichtig ist es, die Angriffsfläche zu reduzieren:

RMM-Systeme auf das Nötigste beschränken und klar segmentieren
Starke Zugangskontrollen (z. B. MFA, Least Privilege) einsetzen
Regelmäßiges Monitoring und Alarmierung implementieren, um Missbrauch frühzeitig zu erkennen
Transparenz über alle eingesetzten RMM-Tools sicherstellen

Neosec unterstützt Unternehmen dabei, diese Prozesse nachhaltig aufzubauen. Mit einem kontinuierlichen Vulnerability Management und ergänzenden Security-Services wird verhindert, dass kritische Lücken wie CVE-2025-8875 und CVE-2025-8876 unentdeckt bleiben – oder gar zur Eskalation führen.

Sind Sie bereit, Ihre Angriffsfläche zu reduzieren und die Kontrolle über Ihre Sicherheitsprozesse zurückzugewinnen? Vereinbaren Sie ein kostenfreies Beratungsgespräch mit Neosec.

CISA Known Exploited Vulnerabilities Catalog (abgerufen am 29.08.2025)
N-able Patch Advisory (abgerufen am 29.08.2025)
Shadowserver Dashboard – CVE-2025-8875/8876 Tracker (abgerufen am 29.08.2025)
Shadowserver Dashboard – Geo Map (abgerufen am 29.08.2025)
Shadowserver Vulnerable HTTP Report (abgerufen am 29.08.2025)

[N-able N-central ist eine eingetragene Marke von N-able Solutions ULC]

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

NIS-2 & Compliance

Cybersicherheit ist Chefsache: Warum NIS-2 die Geschäftsführung in die Pflicht nimmt

J. Benjamin Espagné 7. April 20267. April 2026

Cybersicherheit ist längst kein reines IT-Thema mehr — sie ist Chefsache. Das wird spätestens mit NIS-2 und dem EU AI Act auch…

lesen Cybersicherheit ist Chefsache: Warum NIS-2 die Geschäftsführung in die Pflicht nimmt
NIS-2 & Compliance

Cyberrisiken finanziell messbar machen: Warum Cybersicherheit in die Sprache des Vorstands übersetzt werden muss

J. Benjamin Espagné 7. April 20267. April 2026

Was man nicht messen kann, kann man auch nicht steuern. Dieser Grundsatz gilt in der Betriebswirtschaft seit Jahrzehnten — nur in der…

lesen Cyberrisiken finanziell messbar machen: Warum Cybersicherheit in die Sprache des Vorstands übersetzt werden muss
AI Security

Wenn KI die Seiten wechselt: 6 Wege, wie Angreifer KI-Dienste gegen Ihr Unternehmen einsetzen

J. Benjamin Espagné 7. April 20267. April 2026

Künstliche Intelligenz verändert die Cybersecurity-Landschaft — aber nicht nur auf der Verteidigerseite. Angreifer nutzen dieselben KI-Dienste, die Unternehmen für Produktivität und Innovation…

lesen Wenn KI die Seiten wechselt: 6 Wege, wie Angreifer KI-Dienste gegen Ihr Unternehmen einsetzen
NIS-2 & Compliance

Cyber Resilience Act: Was der CRA für Ihr Unternehmen bedeutet

J. Benjamin Espagné 1. April 20267. April 2026

Der EU Cyber Resilience Act wird ab Juni 2026 wirksam und betrifft praktisch jedes Unternehmen, das Produkte mit digitalen Elementen herstellt, importiert oder vertreibt. Aber auch Anwender solcher Produkte sollten verstehen, was auf sie zukommt — und welche Chancen der CRA für die eigene IT-Sicherheit bietet.

lesen Cyber Resilience Act: Was der CRA für Ihr Unternehmen bedeutet
Supply Chain Security

Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen

J. Benjamin Espagné 1. April 20267. April 2026

Nordkoreanische Angreifer haben das npm-Paket Axios trojanisiert — mit 100 Millionen wöchentlichen Downloads der bisher folgenreichste Supply-Chain-Angriff im npm-Ökosystem. Konkrete Handlungsanweisungen für Administratoren und Entwicklungsteams.

lesen Axios Supply-Chain-Angriff: Was Admins jetzt prüfen müssen
Phishing & Social Engineering

MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.

J. Benjamin Espagné 1. April 20267. April 2026

Adversary-in-the-Middle-Phishing macht klassische MFA wirkungslos: Angreifer fangen die komplette Authentifizierung in Echtzeit ab — inklusive Session-Token. Push-Benachrichtigungen, SMS-Codes und Authenticator-Apps schützen nicht mehr. Was wirklich hilft: von FIDO2 über Geo-Blocking bis Proxy-Detection.

lesen MFA wird nicht gebrochen — sie wird umgangen. Und Ihre Mitarbeiter merken es nicht.