Специалисты по кибербезопасности зафиксировали активные атаки на корпоративные сети, использующие неисправленную критическую уязвимость в системах управления Quest KACE SMA (Systems Management Appliance). Эксплуатация уязвимости, получившей идентификатор CVE-2025-32975, началась в марте 2026 года и позволяет злоумышленникам полностью захватывать контроль над популярным решением для управления конечными точками, что в ряде случаев стало отправной точкой для продвижения к критически важным серверам внутри корпоративных периметров.
Детали уязвимости CVE-2025-32975
Quest KACE SMA представляет собой локальное (on-premises) решение для централизованного управления парком устройств, включая развёртывание программного обеспечения, инвентаризацию и мониторинг. Сама уязвимость кроется в механизме обработки аутентификации с единым входом (Single Sign-On, SSO). Её эксплуатация позволяет полностью обойти процедуры проверки подлинности, дав злоумышленнику возможность выдать себя за легитимного пользователя без каких-либо корректных учётных данных. Это равносильно получению полных административных прав на самом appliance. Несмотря на то что Quest выпустила исправление ещё в мае 2025 года, спустя почти год в открытом доступе остаётся значительное количество незащищённых систем, что и привлекло внимание угрозовых акторов.
Исследователи из компании Arctic Wolf детально изучили цепочку атак. После первоначального проникновения через обход аутентификации злоумышленники действуют быстро и методично, чтобы закрепиться в системе. Они используют встроенную в ПО KACE функциональность "KPluginRunProcess" для выполнения удалённых команд, активно маскируя полезную нагрузку с помощью кодирования Base64, чтобы избежать немедленного срабатывания систем обнаружения. Для загрузки дополнительных вредоносных файлов применяются простые команды "curl", отправляющие запросы на внешний командный сервер.
Следующим критически важным шагом становится обеспечение скрытного закрепления в системе. Злоумышленники злоупотребляют легитимным процессом "runkbot.exe", чтобы создавать несанкционированные административные учётные записи, добавляя их как в локальные группы администраторов, так и в доменные. Это позволяет им легализовать своё присутствие и упрочить контроль над сетью. Кроме того, для обеспечения устойчивости атаки развёртываются скрытые скрипты PowerShell, которые тихо вносят изменения в системный реестр, гарантируя, что бэкдор сохранит доступ даже после перезагрузки сервера или проведения планового обслуживания.
Укрепив свои позиции, операция переходит в фазу сбора информации и горизонтального перемещения по сети. Ключевым инструментом здесь становится печально известная утилита Mimikatz, которую атакующие иногда маскируют под безобидным именем файла вроде "asd.exe". С её помощью из памяти извлекаются пароли в открытом тексте. Параллельно проводится агрессивное сканирование внутренней сети с использованием стандартных команд перечисления для построения карты административной структуры домена.
Полученные данные становятся пропуском для следующего этапа. Исследователи отмечают, что, имея на руках свежие учётные данные и карту сети, злоумышленники устанавливают сессии удалённого рабочего стола (Remote Desktop Protocol, RDP) на критически важные системы. В число целей, по данным Arctic Wolf, входили контроллеры домена, а также корпоративные серверы резервного копирования на базе решений Veeam или Veritas. Полный контроль над такими активами открывает путь к катастрофическим последствиям: от полной остановки IT-инфраструктуры и шифрования данных программами-вымогателями до масштабной утечки конфиденциальной информации.
Данный инцидент наглядно демонстрирует классическую, но от того не менее опасную модель угрозы, когда устаревшее и доступное извне административное решение становится слабым звеном, компрометация которого приводит к взлому всей корпоративной сети. В этом случае угроза особенно серьезна, поскольку KACE SMA по своей природе имеет высокие привилегии в инфраструктуре для выполнения своих задач по управлению, что делает его идеальной точкой входа для дальнейшей эскалации.
Для нейтрализации угрозы администраторам необходимо немедленно обновить свои системы KACE SMA до исправленных версий. Для старых веток 13.0, 13.1 и 13.2 требуются версии 13.0.385, 13.1.81 и 13.2.183 соответственно. Для более новых веток 14.0 и 14.1 необходимо применить Patch 5 (версия 14.0.341) и Patch 4 (версия 14.1.101). Однако установка патчей - лишь часть необходимых мер. Организациям следует пересмотреть сетевое размещение таких критичных систем. Интерфейсы администрирования KACE SMA должны быть немедленно убраны из публичного доступа в интернете. Удалённый доступ к ним должен осуществляться исключительно через защищённые каналы, такие как корпоративная VPN или строго сконфигурированные правила межсетевого экрана, что радикально сократит поверхность для атаки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-32975
- https://arcticwolf.com/resources/blog/cve-2025-32975/
- https://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978
