黑客利用CVE-2025-32975（CVSS 10.0）劫持未修补的Quest KACE SMA系统

2026年3月23日——据Arctic Wolf称，威胁行为者疑似正在利用影响Quest KACE Systems Management Appliance（SMA）的最高严重性安全漏洞。

漏洞详情

该网络安全公司表示，从2026年3月9日开始的一周，在客户环境中观察到与暴露在互联网上的未修补SMA系统上利用CVE-2025-32975一致的恶意活动。目前尚不清楚攻击的最终目标是什么。

CVE-2025-32975（CVSS评分：10.0）是一个身份验证绕过漏洞，允许攻击者在没有有效凭证的情况下冒充合法用户。成功利用该漏洞可能导致管理账户的完全接管。该问题已于2025年5月由Quest修补。

攻击活动分析

在Arctic Wolf检测到的恶意活动中，威胁行为者被认为已将该漏洞武器化，以控制管理账户并执行远程命令，通过curl命令从外部服务器（216.126.225[.]156）投放Base64编码的有效载荷。

然后，未知的攻击者继续通过"runkbot.exe"创建额外的管理账户，这是一个与SMA Agent关联的后台进程，用于运行脚本和管理安装。还检测到通过PowerShell脚本对Windows注册表进行修改，以实现可能的持久化或系统配置更改。

威胁行为者行动

威胁行为者采取的其他行动包括：

• 凭证收集：使用Mimikatz进行凭证收集
• 发现和侦察：枚举登录用户和管理员账户，运行"net time"和"net group"命令
• RDP访问：获取备份基础设施（Veeam、Veritas）和域控制器的远程桌面协议（RDP）访问权限

安全建议

为应对威胁，管理员被建议：

• 应用最新更新
• 避免将SMA实例暴露在互联网上

受影响版本

该问题已在以下版本中修复：

• 13.0.385
• 13.1.81
• 13.2.183
• 14.0.341（Patch 5）
• 14.1.101（Patch 4）

来源：The Hacker News