In den Netzwerken zahlreicher Unternehmenskunden wird derzeit eine aktive Ausnutzung der kritischen Schwachstelle CVE-2025-32975 in der Quest KACE Systems Management Appliance (SMA) beobachtet. Diese Lösung wird zur Verwaltung von IT-Assets, für Software-Rollouts und Patch-Management eingesetzt. Nach Angaben des Sicherheitsanbieters Arctic Wolf ist die verdächtige Aktivität seit der Woche ab dem 9. März 2026 deutlich angestiegen, insbesondere bei direkt aus dem Internet erreichbaren KACE-SMA-Instanzen.
Kritische Schwachstelle CVE-2025-32975 in Quest KACE SMA
Die Sicherheitslücke CVE-2025-32975 wurde mit einem CVSS-Basisscore von 10,0 bewertet und gehört damit zur höchsten Risikokategorie. Es handelt sich um einen Authentifizierungs-Bypass, der es Angreifern ermöglicht, sich ohne gültige Zugangsdaten als legitimer Benutzer auszugeben. Praktisch können dadurch Administratorsitzungen übernommen und umfassende Steuerungsrechte über die KACE-SMA-Umgebung erlangt werden.
Bei erfolgreicher Ausnutzung erhält ein Angreifer Zugriff auf das Administrationsinterface, kann Richtlinien ändern, Software und Skripte auf verwalteten Endpunkten ausrollen und Konfigurationen manipulieren. Damit wird eine einzige kompromittierte Appliance rasch zu einem Schlüsselpunkt für die Kompromittierung der gesamten Unternehmensinfrastruktur. Quest hat im Mai 2025 Sicherheitsupdates zur Behebung der Schwachstelle veröffentlicht.
So wird CVE-2025-32975 derzeit in Unternehmensnetzen ausgenutzt
Arctic Wolf beobachtet Kampagnen, bei denen Angreifer den Authentifizierungs-Bypass von CVE-2025-32975 nutzen, um sich Administratorrechte zu verschaffen und anschließend Remote-Kommandos auf den Appliances auszuführen. Für das Nachladen schädlicher Komponenten kommt typischerweise das Tool curl zum Einsatz, das zu einem externen Server unter der IP-Adresse 216.126.225[.]156 verbindet und eine Base64-codierte Nutzlast herunterlädt.
Die Base64-Codierung dient hier nicht der Verschlüsselung, sondern der Verschleierung und technischen Vereinfachung der Übertragung von Binärdaten im Textformat. Nach der Dekodierung können die Daten etwa Skripte, Downloader für Trojaner oder Werkzeuge für Remote-Administration enthalten, mit denen sich der Angreifer im Netzwerk festsetzt und seine Kontrolle erweitert.
Missbrauch von runkbot.exe und PowerShell zur Persistenz
Nach dem Erstzugriff legen Angreifer laut Arctic Wolf häufig zusätzliche Administrator-Accounts an und nutzen dabei den Prozess runkbot.exe. Dieser gehört regulär zum KACE-SMA-Agenten und ist für das Ausführen von Skripten sowie die Softwareverteilung auf verwalteten Endpunkten zuständig. Der Missbrauch legitimer Systemprozesse erschwert die Erkennung, da deren Aktivität auf den ersten Blick wie regulärer Betrieb wirkt.
Darüber hinaus wurden Änderungen an der Windows-Registry beobachtet, die über PowerShell-Skripte vorgenommen werden. Solche Modifikationen dienen typischerweise der Persistenz, etwa durch das Einrichten von Autostart-Einträgen für Schadsoftware oder das Anpassen sicherheitsrelevanter Parameter. PowerShell ist aufgrund seiner tiefen Windows-Integration und mächtigen Automatisierungsfunktionen seit Jahren ein bevorzugtes Werkzeug in Angriffsketten.
Warum Management-Appliances wie Quest KACE SMA ein Hochrisiko darstellen
Systeme wie die Quest KACE Systems Management Appliance verfügen über weitreichende Vertrauensstellungen in Unternehmensnetzen: Sie verwalten große Bestände an Servern und Clients, verteilen Software, Patches und Skripte und greifen auf zahlreiche Systeme mit erhöhten Rechten zu. Wird ein solches System kompromittiert, kann es als effizienter Multiplikator für Malware-Verteilung, Ransomware-Kampagnen oder großflächiges Lateral Movement dienen.
Aus diesem Grund erhalten Authentifizierungs-Bypässe und Administratoren-Übernahmen in Management-Tools regelmäßig höchste CVSS-Bewertungen. Das Risiko steigt weiter, wenn Web-GUI oder API direkt aus dem Internet erreichbar sind – eine Konfigurationsschwäche, die in vielen Organisationen trotz langjähriger Empfehlungen weiterhin häufig anzutreffen ist.
Empfohlene Sofortmaßnahmen für Administratoren
Patching und Reduzierung der Angriffsfläche
Organisationen sollten umgehend prüfen, ob sie eine gehärtete Version von Quest KACE SMA einsetzen. Laut Hersteller ist die Schwachstelle CVE-2025-32975 in folgenden Builds behoben: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), 14.1.101 (Patch 4). Ältere Versionen sollten schnellstmöglich aktualisiert werden. Parallel dazu ist zu prüfen, ob der Zugriff auf die Appliance zwingend aus dem Internet erforderlich ist. Wo immer möglich, sollte der Direktzugriff aus dem öffentlichen Netz unterbunden und auf interne Segmente sowie VPN-geschützte Verbindungen beschränkt werden.
Monitoring, Forensik und Härtung der Umgebung
Zur Erkennung laufender oder vergangener Angriffe empfiehlt sich eine systematische Auswertung der Logs, insbesondere auf folgende Indikatoren:
— unerwartete Logins mit Administratorrechten;
— neu angelegte Administrator-Konten ohne dokumentierte Freigabe;
— Verbindungen zur externen IP 216.126.225[.]156 oder ähnlichen unbekannten Hosts;
— ungewöhnliche Nutzung von curl, PowerShell und des Prozesses runkbot.exe.
Zusätzlich sollten erweitertes PowerShell-Logging und moderne EDR-/XDR-Lösungen eingesetzt werden, um auffällige Skript- und Prozessaktivitäten zu erkennen. Ein regelmäßiger Review privilegierter Konten, konsequentes Least-Privilege-Prinzip, strikte Netzwerksegmentierung und ein reifes Patch-Management reduzieren die Erfolgsaussichten vergleichbarer Angriffe nachhaltig.
Die aktuelle Angriffswelle auf Quest KACE SMA zeigt exemplarisch, dass kritische Schwachstellen in Management-Systemen erfahrungsgemäß sehr schnell in realen Kampagnen auftauchen. Unternehmen sollten Sicherheitsupdates priorisieren, Administrationsoberflächen nicht ungeschützt im Internet veröffentlichen und ein kontinuierliches Monitoring etablieren. Wer diese Grundsätze frühzeitig und konsequent umsetzt, senkt das Risiko erheblich, dass die nächste Zero-Day- oder Kritikal-Schwachstelle zum Auslöser eines schwerwiegenden Sicherheitsvorfalls wird.
