В сетях корпоративных клиентов зафиксирована активная эксплуатация критической уязвимости CVE-2025-32975 в решении Quest KACE Systems Management Appliance (SMA), предназначенном для управления ИТ-активами и развертывания обновлений. По данным компании Arctic Wolf, подозрительная активность наблюдается с недели, начинающейся 9 марта 2026 года, преимущественно на уязвимых экземплярах KACE SMA, доступных напрямую из интернета.
Что известно об уязвимости CVE-2025-32975 в Quest KACE SMA
Уязвимость CVE-2025-32975 получила максимальный базовый балл CVSS 10.0, что отражает её критичность. Речь идет об обходе аутентификации, позволяющем злоумышленнику имитировать легитимного пользователя без предоставления действительных учетных данных. Фактически это даёт возможность захватить административную сессию и получить полный контроль над системой управления.
Успешная эксплуатация позволяет атакующему войти в интерфейс KACE SMA как администратор, выполнять административные операции, менять настройки политики, разворачивать ПО и сценарии на управляемых хостах. В результате взлом одной такой системы может стать отправной точкой для компрометации всей корпоративной инфраструктуры. Производитель Quest выпустил исправление для уязвимости в мае 2025 года.
Как злоумышленники используют уязвимость Quest KACE SMA на практике
Проанализированная Arctic Wolf вредоносная активность указывает на то, что злоумышленники эксплуатируют CVE-2025-32975 для захвата административных учётных записей, после чего выполняют удалённые команды на уязвимых аплайансах. Для загрузки вредоносных компонентов используется утилита curl, которая обращается к внешнему серверу по IP-адресу 216.126.225[.]156 и получает полезную нагрузку в виде Base64-кодированных данных.
Base64 в данном контексте применяется не для шифрования, а для маскировки содержимого и удобства передачи двоичных файлов в текстовом виде. После декодирования такие полезные нагрузки могут представлять собой скрипты, загрузчики троянов или инструменты удалённого администрирования, позволяющие закрепиться в сети и расширить охват атаки.
Злоупотребление служебными процессами и PowerShell для закрепления в системе
После первоначального доступа злоумышленники, по данным Arctic Wolf, создают дополнительные администраторские аккаунты, используя процесс runkbot.exe. Этот компонент является фоновым процессом агента SMA и предназначен для запуска скриптов и управления установкой программного обеспечения на управляемых конечных точках. Использование штатных служебных процессов усложняет обнаружение атаки, поскольку их активность визуально схожа с легитимной.
Также зафиксированы изменения в реестре Windows, выполняемые через PowerShell-скрипты. Подобные модификации часто применяются для закрепления (persistence) – например, добавления автозагрузки вредоносных компонентов или изменения параметров безопасности. PowerShell традиционно является одним из популярных инструментов атакующих из-за своей гибкости, глубокой интеграции с Windows и широких возможностей автоматизации.
Почему устройства управления, вроде Quest KACE SMA, особенно привлекательны для атак
Системы управления, такие как Quest KACE SMA, обладают высоким уровнем доверия в инфраструктуре: они имеют доступ к большому числу серверов и рабочих станций, умеют разворачивать ПО и скрипты, управляют обновлениями и настройками. Компрометация такого узла превращает его в удобную «точку распространения» для атакующего, что способно привести к массированной инфекции без участия пользователя.
Поэтому уязвимости с обходом аутентификации и захватом администратора в подобных продуктах закономерно получают максимальные рейтинги по CVSS. Ситуация усугубляется, если админ-панель или API аплайанса выставлены напрямую в интернет, что, как показывает практика, по-прежнему распространённая ошибка конфигурации во многих организациях.
Рекомендуемые меры защиты и действия администраторов
Обновление Quest KACE SMA и управление экспозицией
Администраторам настоятельно рекомендуется немедленно убедиться, что используется одна из версий Quest KACE SMA, в которых уязвимость CVE-2025-32975 уже устранена: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), 14.1.101 (Patch 4). Если аплайанс работает на более ранней версии, необходимо в кратчайшие сроки установить актуальные патчи производителя.
Отдельное внимание следует уделить сетевой доступности KACE SMA. Рекомендуется исключить прямой доступ к веб-интерфейсу и API из интернета, ограничив взаимодействие внутренними сегментами сети и, при необходимости, защищёнными VPN-каналами. Размещение подобных систем в отдельном сегменте с жёсткими правилами межсетевого экранирования снижает потенциал ущерба при их компрометации.
Мониторинг, расследование и укрепление защиты
Организациям, использующим Quest KACE SMA, имеет смысл провести проверку журналов на предмет:
— неожиданных входов под администраторскими учетными записями;
— создания новых администраторов без соответствующих заявок;
— обращений к внешнему IP 216.126.225[.]156 и аналогичным неизвестным хостам;
— аномального использования curl, PowerShell и процесса runkbot.exe.
Полезно активировать расширенное логирование PowerShell, применять EDR- или XDR-решения для выявления подозрительных сценариев поведения, а также регулярно проводить аудит привилегированных аккаунтов. Усиление процедур управления патчами, принципа минимально необходимых привилегий и сегментации сети помогает снизить вероятность успешной эксплуатации аналогичных уязвимостей в будущем.
Текущая волна атак на Quest KACE SMA наглядно демонстрирует, что критические уязвимости в системах управления ИТ-инфраструктурой почти неизбежно попадают в поле зрения злоумышленников. Своевременное обновление, отказ от прямой публикации админ-интерфейсов в интернет, постоянный мониторинг и готовность к реагированию превращаются из «рекомендаций» в обязательные элементы киберустойчивости. Чем быстрее организации начнут внедрять эти практики, тем ниже будет риск, что очередная эксплуатация нулевого или критического дня станет для них началом масштабного инцидента.
