La vulnerabilidad CVE-2025-32975, identificada en la solución Quest KACE Systems Management Appliance (SMA), está siendo explotada activamente en redes corporativas, según información reciente de la empresa de seguridad Arctic Wolf. Los ataques se concentran principalmente en instancias de KACE SMA expuestas directamente a Internet, con actividad maliciosa continuada desde la semana del 9 de marzo de 2026.
Vulnerabilidad CVE-2025-32975 en Quest KACE SMA: impacto y alcance
La falla CVE-2025-32975 ha recibido una puntuación base de CVSS 10.0, el nivel máximo de criticidad. Se trata de un bypass de autenticación que permite a un atacante suplantar a un usuario legítimo sin disponer de credenciales válidas. En la práctica, esto facilita el secuestro de sesiones administrativas y otorga control total sobre la consola de gestión.
Una explotación exitosa posibilita que el atacante acceda a la interfaz de administración de Quest KACE SMA con privilegios elevados, modifique políticas, despliegue software y ejecute scripts sobre los equipos gestionados. Dado que estas plataformas orquestan la administración de un gran número de endpoints, la brecha en un único appliance puede convertirse en el punto de partida para comprometer toda la infraestructura corporativa.
El fabricante Quest publicó parches de seguridad que corrigen la vulnerabilidad en mayo de 2025, pero la explotación actual demuestra que una parte significativa de las organizaciones continúa utilizando versiones sin actualizar, un patrón recurrente que también subrayan informes como el Verizon Data Breach Investigations Report al analizar incidentes relacionados con vulnerabilidades conocidas.
Cómo se está explotando CVE-2025-32975 en entornos corporativos
Uso de curl, cargas Base64 y ejecución remota de comandos
El análisis de Arctic Wolf indica que los atacantes emplean CVE-2025-32975 para tomar el control de cuentas administrativas y, a continuación, lanzar comandos remotos desde el propio appliance vulnerable. Una vez dentro, utilizan la herramienta curl para descargar componentes maliciosos desde un servidor externo asociado a la dirección IP 216.126.225[.]156.
Las cargas útiles se transfieren en formato Base64. Este esquema no proporciona cifrado, pero sí actúa como una técnica de ofuscación ligera, facilitando el transporte de binarios y scripts en forma de texto y dificultando su identificación en revisiones superficiales de logs o tráfico.
Abuso de procesos legítimos y PowerShell para persistencia
Tras el acceso inicial, los atacantes crean cuentas administrativas adicionales aprovechando el proceso runkbot.exe, un componente legítimo del agente de KACE SMA responsable de ejecutar scripts y gestionar instalaciones de software en los endpoints. Al apoyarse en procesos de confianza, la actividad maliciosa se camufla entre tareas rutinarias, lo que complica su detección por parte de soluciones de monitorización poco afinadas.
Asimismo, se han observado modificaciones en el Registro de Windows mediante scripts de PowerShell, una táctica habitual para establecer persistencia, activar la ejecución automática de componentes maliciosos o alterar parámetros de seguridad. PowerShell sigue siendo una de las herramientas preferidas por los atacantes gracias a su profunda integración en el ecosistema Windows y a sus capacidades de automatización y ejecución remota.
Por qué las plataformas de gestión como Quest KACE SMA son objetivos de alto valor
Soluciones de gestión de sistemas como Quest KACE SMA disfrutan de un alto nivel de confianza dentro de las redes corporativas: cuentan con visibilidad y control sobre servidores y estaciones de trabajo, administran parches, despliegan aplicaciones y ejecutan scripts en masa. Cuando un atacante compromete uno de estos nodos, puede reutilizar esas mismas funciones para propagar malware o herramientas de acceso remoto a gran escala, sin necesidad de interacción del usuario.
Por este motivo, las vulnerabilidades que permiten un bypass de autenticación y la toma de control administrativo en estos productos tienden a recibir puntuaciones CVSS máximas. El riesgo se incrementa cuando la consola de administración o las APIs de KACE SMA se exponen directamente a Internet, un error de configuración que continúa siendo frecuente y que informes de incidentes reales señalan como vector habitual en ataques dirigidos a infraestructuras de gestión.
Medidas de mitigación y recomendaciones para administradores
Actualización de Quest KACE SMA y reducción de la superficie de ataque
Es imprescindible verificar que el appliance ejecuta una versión de Quest KACE SMA donde CVE-2025-32975 esté corregida. Quest indica como versiones seguras: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) y 14.1.101 (Patch 4). Si la instalación se encuentra en una versión anterior, debe priorizarse la aplicación de parches dentro del plan de gestión de vulnerabilidades.
En paralelo, se recomienda revisar la exposición de red del appliance. La consola web y las APIs no deberían ser accesibles directamente desde Internet. Lo más adecuado es limitar el acceso a segmentos internos y, cuando sea necesario acceso remoto, hacerlo exclusivamente a través de VPN seguras y con autenticación reforzada. La ubicación de estos sistemas en segmentos aislados, con reglas estrictas en los cortafuegos, reduce significativamente el impacto potencial de un compromiso.
Monitorización, respuesta y endurecimiento de la infraestructura
Las organizaciones que utilizan Quest KACE SMA deberían revisar sus registros de eventos en busca de:
— inicios de sesión administrativos inusuales o fuera de horario;
— creación de nuevas cuentas de administrador sin petición documentada;
— conexiones salientes hacia 216.126.225[.]156 u otros destinos desconocidos;
— uso anómalo de curl, PowerShell y del proceso runkbot.exe.
Resulta aconsejable habilitar registro avanzado de PowerShell, implantar soluciones EDR/XDR capaces de detectar comportamientos sospechosos y realizar auditorías regulares de cuentas privilegiadas. Complementariamente, reforzar los procesos de gestión de parches, aplicar el principio de mínimo privilegio y segmentar la red de forma adecuada son medidas que reducen la probabilidad y el impacto de futuras explotaciones de vulnerabilidades críticas.
La campaña actual contra Quest KACE SMA ilustra con claridad que las plataformas de gestión de infraestructura se han consolidado como objetivos prioritarios para los atacantes. La combinación de actualización oportuna, configuración segura (sin paneles expuestos a Internet), monitorización continua y capacidad de respuesta rápida debe asumirse como un requisito básico de ciberresiliencia. Cuanto antes adopten las organizaciones estas prácticas, menor será la probabilidad de que la próxima vulnerabilidad crítica se traduzca en un incidente de gran envergadura.
