Wprowadzenie do problemu / definicja
Quest KACE Systems Management Appliance (SMA) to lokalna platforma do centralnego zarządzania stacjami roboczymi i serwerami, wykorzystywana m.in. do inwentaryzacji zasobów, wdrażania oprogramowania, patch managementu oraz nadzoru nad endpointami. Najnowsze ostrzeżenia koncentrują się wokół podatności CVE-2025-32975, czyli krytycznego błędu obejścia uwierzytelniania, który może umożliwić nieautoryzowanemu napastnikowi przejęcie pełnej kontroli administracyjnej nad urządzeniem.
W skrócie
CVE-2025-32975 dotyczy niezałatanych i publicznie dostępnych z internetu instancji Quest KACE SMA. Chociaż poprawki zostały opublikowane w maju 2025 roku, w marcu 2026 roku pojawiły się przesłanki wskazujące, iż luka mogła zostać wykorzystana w rzeczywistych incydentach.
- Podatność pozwala obejść mechanizm uwierzytelniania.
- Skutkiem może być uzyskanie uprawnień administracyjnych bez ważnych poświadczeń.
- Zaobserwowane działania obejmowały zdalne wykonywanie poleceń, utrwalanie dostępu i próby pozyskiwania poświadczeń.
- Kompromitacja SMA może otworzyć drogę do dalszego ruchu bocznego w środowisku Windows.
Kontekst / historia
Problem został ujawniony w ramach skoordynowanego procesu obsługi podatności i był częścią szerszego zestawu czterech luk bezpieczeństwa zidentyfikowanych podczas zewnętrznego przeglądu. Wszystkie dotyczyły KACE SMA w wersjach do 14.1 i mogły prowadzić do nieautoryzowanego dostępu administracyjnego.
Producent wskazał zabezpieczone wersje: 13.0.385, 13.1.81, 13.2.183, 14.0.341 oraz 14.1.101. Mimo dostępności aktualizacji od maja 2025 roku, ostrzeżenia opublikowane w marcu 2026 roku sugerują, iż część organizacji przez cały czas utrzymywała podatne, internetowo eksponowane instancje. To kolejny przykład ryzyka wynikającego z opóźnionego wdrażania poprawek w systemach o uprzywilejowanym charakterze.
Analiza techniczna
CVE-2025-32975 jest opisywana jako luka typu authentication bypass, powiązana z mechanizmem logowania SSO. W praktyce oznacza to możliwość podszycia się pod uprawnionego użytkownika bez konieczności poznania jego hasła, co znacząco obniża próg wejścia dla atakującego.
Zaobserwowany łańcuch ataku wskazuje na szybkie przejście od dostępu początkowego do pełnego przejęcia urządzenia. Po uzyskaniu kontroli administracyjnej napastnicy mieli wykorzystywać funkcję KPluginRunProcess do zdalnego wykonywania poleceń. W logach pojawiały się także ładunki kodowane w Base64 oraz pobieranie plików z użyciem curl, co mogło służyć do uruchamiania kolejnych komponentów i komunikacji z infrastrukturą sterującą.
W dalszej fazie incydentów obserwowano próby utrwalania dostępu, w tym tworzenie dodatkowych kont administracyjnych, uruchamianie skryptów PowerShell z parametrami omijającymi polityki bezpieczeństwa i ukrywającymi okno konsoli, a także modyfikacje rejestru systemowego. Takie działania sugerują, iż przejęte urządzenie SMA mogło być wykorzystywane jako przyczółek do dalszej penetracji środowiska.
Szczególnie niepokojące są oznaki działań z obszaru credential access i rekonesansu. W analizowanych przypadkach pojawiały się ślady użycia narzędzi do pozyskiwania poświadczeń, enumeracji lokalnych administratorów i użytkowników oraz rozpoznawania struktury domeny i kontrolerów domeny. W części środowisk mogło to prowadzić do uzyskania dostępu RDP do infrastruktury backupowej oraz systemów krytycznych dla działania domeny.
Konsekwencje / ryzyko
Ryzyko związane z tą luką jest bardzo wysokie, ponieważ dotyczy systemu zarządzającego wieloma endpointami i posiadającego szerokie uprawnienia administracyjne. jeżeli podatne urządzenie jest wystawione do internetu, napastnik może uzyskać dostęp bez klasycznego procesu logowania, a następnie wykorzystać przejęty appliance do eskalacji wpływu w całym środowisku.
Potencjalne skutki obejmują:
- pełną kompromitację platformy zarządzania endpointami,
- kradzież poświadczeń uprzywilejowanych,
- ruch boczny do serwerów i kontrolerów domeny,
- naruszenie integralności konfiguracji i procesów administracyjnych,
- zagrożenie dla systemów kopii zapasowych,
- przygotowanie środowiska pod atak ransomware.
Rekomendacje
Najważniejszym krokiem jest natychmiastowa weryfikacja wersji Quest KACE SMA i aktualizacja do wydań naprawionych wskazanych przez producenta. Organizacje korzystające ze starszych gałęzi 13.x powinny dodatkowo upewnić się, iż zastosowano adekwatne poprawki bezpieczeństwa oraz iż nie zostały one nadpisane w toku późniejszych aktualizacji.
Równolegle należy ograniczyć ekspozycję appliance’a do internetu. Interfejsy administracyjne systemów tego typu nie powinny być publicznie dostępne bez segmentacji sieciowej, list kontroli dostępu, pośrednictwa VPN lub innych dodatkowych zabezpieczeń. Najbezpieczniejszym podejściem jest traktowanie KACE SMA jako zasobu uprzywilejowanego i izolowanie go od sieci publicznej.
Z perspektywy detekcji warto przeprowadzić przegląd logów pod kątem następujących wskaźników:
- nietypowe logowania i zdarzenia powiązane z SSO,
- użycie KPluginRunProcess do uruchamiania poleceń,
- polecenia PowerShell z parametrami ukrywania i obejścia polityk,
- tworzenie nowych kont administracyjnych,
- oznaki użycia narzędzi do kradzieży poświadczeń,
- podejrzane połączenia wychodzące z appliance’a,
- ruch RDP do serwerów backupowych i kontrolerów domeny.
Jeżeli istnieje choćby częściowe podejrzenie kompromitacji, incydent należy traktować jako potencjalnie obejmujący całą domenę. W praktyce oznacza to potrzebę rotacji poświadczeń uprzywilejowanych, przeglądu kont lokalnych i domenowych, weryfikacji integralności kopii zapasowych oraz pełnego threat huntingu pod kątem trwałości atakującego.
Podsumowanie
CVE-2025-32975 w Quest KACE SMA pokazuje, jak groźne mogą być krytyczne luki w narzędziach zarządzających infrastrukturą końcową. choćby jeżeli poprawki są dostępne od miesięcy, niezałatane i publicznie dostępne instancje pozostają atrakcyjnym celem dla napastników. W tym przypadku najważniejsze znaczenie mają szybkie patchowanie, ograniczenie ekspozycji do internetu oraz aktywne poszukiwanie śladów nadużyć administracyjnych i ruchu bocznego.
Źródła
- SecurityWeek — https://www.securityweek.com/critical-quest-kace-vulnerability-potentially-exploited-in-attacks/
- Quest Support: Quest Response to KACE SMA Vulnerabilities: CVE-2025-32975, CVE-2025-32976, CVE-2025-32977, CVE-2025-32978 — https://support.quest.com/kb/4379499/quest-response-to-kace-sma-vulnerabilities-cve-2025-32975-cve-2025-32976-cve-2025-32977-cve-2025-32978
- Arctic Wolf: CVE-2025-32975 — https://arcticwolf.com/resources/blog/cve-2025-32975/