У корпоративних мережах фіксується активна експлуатація критичної уразливості CVE-2025-32975 у продукті Quest KACE Systems Management Appliance (SMA), який використовується для інвентаризації ІТ-активів, розгортання оновлень та централізованого управління робочими станціями. За спостереженнями компанії Arctic Wolf, підозріла активність посилилася з тижня, що починається 9 березня 2026 року, переважно щодо екземплярів KACE SMA, безпосередньо доступних з інтернету.
Активна експлуатація CVE-2025-32975 у корпоративних мережах
Уразливість CVE-2025-32975 отримала максимальний базовий бал CVSS 10.0, що означає критичний рівень ризику без необхідності додаткових умов для її експлуатації. Йдеться про обхід аутентифікації, який дозволяє атакувальнику імітувати легітимного користувача без дійсних облікових даних та отримувати адміністративний доступ до консолі KACE SMA.
Після успішної атаки зловмисник може виконувати повний набір адміністративних операцій: змінювати політики, розгортати програмне забезпечення та сценарії на керованих хостах, вносити зміни до конфігурації. Оскільки KACE SMA зазвичай має широкі права у корпоративному середовищі, компрометація одного такого вузла може стати стартовою точкою для масштабного захоплення всієї інфраструктури. Компанія Quest випустила виправлення для цієї уразливості ще у травні 2025 року, однак значна частина інсталяцій, за наявними ознаками, досі працює на вразливих версіях.
Технічні деталі уразливості Quest KACE SMA
Суть CVE-2025-32975 полягає в можливості обійти механізми перевірки автентичності на рівні веб-інтерфейсу та API KACE SMA. Це дозволяє атакувальнику перехопити або ініціювати адміністративну сесію без проходження повноцінного процесу логіну. На практиці це еквівалентно повному контролю над системою управління.
Подібні уразливості є особливо небезпечними, коли адмін-панель або API аплаєнса опубліковані в інтернеті. У такому випадку зловмисникам не потрібно спершу отримувати доступ до внутрішньої мережі: достатньо просканувати діапазони IP, виявити KACE SMA та застосувати готовий експлойт.
Як кіберзловмисники атакують Quest KACE SMA
За даними Arctic Wolf, після експлуатації CVE-2025-32975 атакувальники захоплюють адміністративні облікові записи та виконують віддалені команди безпосередньо на вразливому аплаєнсі. Для завантаження шкідливих компонентів активно використовується утиліта curl, яка звертається до зовнішнього сервера з IP-адресою 216.126.225[.]156, отримуючи корисне навантаження у вигляді Base64-кодованих даних.
Кодування Base64 у цьому сценарії не забезпечує шифрування, але служить для маскування вмісту та спрощення передачі двійкових файлів у текстовому форматі. Після декодування такі дані можуть виявитися скриптами, завантажувачами шкідливого ПЗ або інструментами віддаленого адміністрування, які дозволяють закріпитися в мережі та розширювати охоплення атаки.
Зловживання runkbot.exe та PowerShell для закріплення у системі
Після початкового проникнення атакувальники створюють додаткові адміністративні облікові записи, використовуючи процес runkbot.exe. Це штатний компонент агента SMA, призначений для запуску скриптів та керування встановленням програмного забезпечення на керованих кінцевих точках. Застосування легітимних службових процесів ускладнює виявлення інциденту, оскільки їхня активність зовні схожа на нормальну роботу системи.
Також фіксуються зміни у реєстрі Windows, що виконуються через PowerShell-скрипти. Такі модифікації традиційно використовуються для закріплення (persistence) — наприклад, для додавання шкідливих компонентів в автозавантаження або зміни параметрів безпеки. PowerShell залишається одним із ключових інструментів зловмисників завдяки своїй гнучкості, глибокій інтеграції з Windows та розвиненим можливостям автоматизації.
Чому системи управління ІТ-інфраструктурою є пріоритетною ціллю
Рішення на кшталт Quest KACE Systems Management Appliance мають підвищений рівень довіри в інфраструктурі: вони підключені до великої кількості серверів і робочих станцій, можуть розгортати ПЗ, оновлення та сценарії, керують політиками безпеки й конфігурацією. Компрометація такого вузла перетворює його на зручний «центральний розповсюджувач», через який можлива швидка інфекція всієї мережі без взаємодії з кінцевими користувачами.
Саме тому уразливості з обходом аутентифікації та захопленням адміністративного доступу у системах управління ІТ-інфраструктурою закономірно отримують максимальні оцінки за CVSS. Ризики суттєво зростають, якщо адміністратори публікують панель керування в інтернет без додаткових засобів захисту — практика, яка, попри рекомендації виробників і фахівців, все ще залишається поширеною.
Рекомендовані кроки для адміністраторів Quest KACE SMA
Оновлення Quest KACE SMA та зменшення експозиції
Адміністраторам необхідно невідкладно перевірити версію Quest KACE SMA та переконатися, що використовується реліз, у якому CVE-2025-32975 вже виправлено: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), 14.1.101 (Patch 4). Якщо аплаєнс працює на старішій версії, слід у найкоротші строки встановити актуальні патчі виробника.
Окрему увагу потрібно приділити мережевій доступності KACE SMA. Рекомендовано виключити прямий доступ до веб-інтерфейсу та API з інтернету, обмеживши взаємодію внутрішніми сегментами мережі та, за потреби, захищеними VPN-каналами. Розміщення аплаєнса в окремому сегменті з жорсткими правилами міжмережевого екранування істотно знижує потенційні наслідки його компрометації.
Моніторинг, розслідування та посилення контролів безпеки
Організаціям, які використовують Quest KACE Systems Management Appliance, доцільно провести ретельний аналіз журналів, звертаючи увагу на такі індикатори:
— нетипові входи під адміністративними обліковими записами;
— створення нових адміністраторів без офіційних заявок чи змінних запитів;
— звернення до зовнішнього IP 216.126.225[.]156 або схожих невідомих хостів;
— аномальне використання curl, PowerShell та процесу runkbot.exe.
Рекомендується активувати розширене логування PowerShell, застосовувати EDR/XDR-рішення для виявлення підозрілих сценаріїв поведінки, регулярно проводити аудит привілейованих облікових записів та посилювати процедури управління патчами і сегментації мережі. Дотримання принципу мінімально необхідних привілеїв суттєво зменшує масштаб потенційного збитку навіть у разі успішної експлуатації нових або ще невиправлених уразливостей.
Поточна хвиля атак на Quest KACE SMA вкотре демонструє, що критичні уразливості в системах управління ІТ-інфраструктурою дуже швидко потрапляють у фокус зловмисників. Організаціям варто розглядати своєчасне оновлення, відмову від прямої публікації адмін-інтерфейсів в інтернет, постійний моніторинг і готовність до оперативного реагування не як опцію, а як обов’язкові елементи кіберстійкості. Чим раніше ці практики стануть частиною повсякденної операційної діяльності, тим менша ймовірність, що наступна критична уразливість у системі управління стане відправною точкою масштабного інциденту.
