N‑able patcht kritische Sicherheitslücken in N‑central RMM

Wegen vier teils schwerwiegenden Sicherheitslücken in N‑central RMM sollte der von N‑able im Eilverfahren gelieferte Patch 2025.4 umgehend installiert werden. Partner loben die schnelle Reaktion des Anbieters, fordern aber zugleich mehr Transparenz und Informationen, um vor ihren Kunden nicht mit leeren Händen dazustehen.

Die Partner loben den schnellen Patch, haben aber noch Informationsbedarf hinsichtlich der Lücken und ihrer Ursachen (Foto: GettyImages – Supatman)

N‑able hat am Mittwoch vier Sicherheitslücken veröffentlicht, die seine Fernüberwachungs- und Verwaltungsplattform (RMM) N‑central betreffen. Zwei der Schwachstellen sind als "kritisch" eingestuft, eine davon sogar mit der höchsten Schweregradbewertung 10,0 von 10,0. Parallel mit den Informationen rollte N-able ein entsprechendes Update aus. Der Patch 2025.4 schließt laut N-able alle vier Lücken in N-central und sollte daher umgehend eingespielt werden.

Das Unternehmen teilte CRN in einer E-Mail mit, dass es "keine Anzeichen" dafür gebe, dass die kritischen Sicherheitslücken in N‑central für Cyberangriffe ausgenutzt worden seien. Es ist die dritte Sicherheitslücke, die N-able innerhalb von drei Monaten gemeldet hat. Am 13. August meldete die Cybersecurity and Infrastructure Security Agency (CISA) zwei bekannte Sicherheitslücken im N-Central-Tool von N-able.

Die vier Sicherheitslücken in N-central:

Die N-central-Schwachstelle mit dem höchsten Schweregrad von 10,0 (CVE-2025-11367) kann laut einer Mitteilung von N-able die Remote-Ausführung von Code ermöglichen. Diese Sicherheitslücke betrifft die Windows-Version der N-central Software Probe, einer Schlüsselkomponente der RMM-Plattform, die Funktionen wie die Geräteerkennung bereitstellt.
Die zweite neu bekanntgegebene kritische Sicherheitslücke in N-central (CVE-2025-11366) kann dem Anbieter zufolge zur Umgehung der Authentifizierung ausgenutzt werden und wird von N-able mit einem Schweregrad von 9,4 angegeben.
Von den beiden weiteren N-central-Sicherheitslücken wird eine mit hohem (8,4) (CVE-2025-11700)
und die andere mittlerem (6,9) Schweregrad (CVE-2025-9316) bewertet.

Partner loben N-ables schnellen Patch und fordern mehr Informationen

Partner bezeichnen die schnelle technische Reaktion des Unternehmens gegenüber CRN zwar als ermutigend, weisen jedoch gleichzeitig darauf hin, dass ihnen mehr Transparenz helfen würde, potenzielle Risiken besser einschätzen und entsprechend mit den Kunden kommunizieren zu können. "Indem sie bereits eine neue Version ihrer Software herausgebracht haben, haben sie technisch alles Notwendige getan. Aber zusätzliche Transparenz etwa darüber, was betroffen war und wie lange die Schwachstelle schon bestand, würde den Nutzern, die sich auf N-central verlassen, wirklich helfen", fordert Dawn Sizer, CEO von 3rd Element Consulting, gegenüber CRN.

Sie fügt hinzu, dass N-able zwar in der Regel gut über allgemeine Schwachstellen und Risiken (CVEs) kommuniziere, die Partner jedoch oft mehr Kontext benötigten, um einzuschätzen, wie sich ein Problem in ihrer spezifischen Umgebung auswirken könnte. "Sie veröffentlichen zwar Informationen, aber darin man erfährt nicht immer viel mehr als in der CVE selbst", erklärt sie. "Es wäre hilfreich zu wissen, wie es aussieht, auf welche Indikatoren man achten muss und wo Partner Hinweise auf eine Kompromittierung finden könnten."

Paul Vedder, Mitbegründer und CEO von VXIT mit Sitz in West Palm Beach, Florida, ist gar der Ansicht, dass der Umgang des Unternehmens mit der Situation wichtiger sei als die Schwachstelle selbst. "Ich mache mir immer Sorgen um alles, keine Plattform ist zu 100 Prozent immun", beschreibt Vedder gegenüber CRN. "Aber ich bin froh, dass sie es entdeckt haben, angeblich, bevor es in freier Wildbahn eingesetzt wurde. Ich sehe N-able irgendwie als Außenseiter im RMM-Bereich, deshalb drücke ich ihnen die Daumen." Er betonte, dass die Reaktion auf Vorfälle und die Kommunikation in solchen Momenten für ihn die entscheidenden Faktoren sind. "Wie sie damit umgehen, ist wichtiger als die Ausnutzung selbst", findet er. "Andere Unternehmen sind in der Vergangenheit schlecht mit solchen Dingen umgegangen. Bei N-able habe ich hingegen bislang noch nie gesehen, dass man schlecht damit umgegangen wäre. Und dafür bin ich dankbar."

Andere Partner sind indes nicht so zufrieden mit der Abarbeitung der Schwachstellen. Was Sie vom Anbieter fordern, um sich nicht vor den Kunden blamieren zu müssen, lesen Sie auf der nächsten Seite.

N-able schließt alle vier Lücken in N-central mit dem Patch 2025.4 (Foto: CRN)

"Lassen Sie uns nicht raten"

Brent Yax, CEO des MSPs Awecomm, der N-Central selbst nutzt, fordert ebenfalls eine klarere und schnellere Kommunikation, um Partner auf dem Laufenden zu halten und Kunden zu beruhigen. "Ich stimme zu, dass sie intern alles richtig machen", lobte Yax gegenüber CRN. "Aber es ist immer noch schwierig, an Informationen zu kommen. Erst ist nichts davon zu hören, und dann gibt es plötzlich einen hektischen Ansturm, weil alle herausfinden wollen, was los ist." Seine Botschaft an N-able lautet daher: "Sie sollten sich darauf konzentrieren, wie sie ihre Partner benachrichtigen und ihnen ein Gefühl der Sicherheit vermitteln können. Dazu müssen sie ihnen alle Informationen geben, bevor es zu einem Ansturm von Kunden kommt, die Fragen stellen, auf die die Partner noch keine Antworten haben."

Seinen Ausführungen zufolge rührt seine Besorgnis daher, dass es sich bereits um die dritte kritische Sicherheitslücke des Anbieters seit August handelt. Das werfe Fragen darüber auf, ob die jüngsten Entdeckungen einen allgemeinen Trend hinsichtlich der Sicherheit widerspiegeln. "Wir möchten einfach nur von ihnen hören, wie sie damit umgehen", sagte Yax. "Sind diese Entdeckungen ein Zeichen für strengere interne Tests und eine bessere Vorbereitung? Wenn ja, dann sagen Sie uns das. Lassen Sie uns nicht raten, warum es in letzter Zeit offenbar mehr Sicherheitslücken gibt.“

"Solche Dinge passieren"

Für andere unterstreicht die Sicherheitslücke vor allem die unvermeidbare Realität von Cybersicherheitsrisiken in einem vernetzten Ökosystem. "Es ist doch klar, dass so etwas passiert", konstatiert Michael Cervino, Mitbegründer und CEO von MSP Circle Square Consulting aus Pennsylvania, gegenüber CRN. "Solange sie das getan haben, was sie tun sollten: ihre festgelegten Protokolle befolgen und das Problem beheben, habe ich kein Problem damit. Solche Dinge passieren nun einmal." Sein Vertrauen in den Anbieter und dessen "gutes Produkt" bleibt daher ungebrochen. "Nach allem, was ich bisher erfahren habe und den ersten Anzeichen zu urteilen, wird das keinen Einfluss auf unsere Geschäftsbeziehung mit ihnen haben."

Grundsätzlich sind die vier Partner sich einig, dass Schwachstellen unvermeidlich sind. Für sie ist für das langfristige Vertrauensverhältnis daher viel entscheidender, wie Anbieter darauf reagieren – nicht nur mit effizienten technischen Prozessen und Maßnahmen, sondern auch mit offener Kommunikation, die den Partnern selbst wieder hilft, das Vertrauen ihrer Kunden zu erhalten. "Transparenz ist entscheidend", fasst Sizer zusammen. "Geben Sie uns die Details, die wir benötigen, um unsere Systeme zu überprüfen und unseren Kunden zu helfen. So schafft man Vertrauen."

Teile dieses Beitrags erschienen zuerst bei unserer Schwesterpublikation crn.com

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden