Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
CVE-2025-32975 to krytyczna podatność typu authentication bypass w systemie Quest KACE Systems Management Appliance (SMA). Luka dotyczy mechanizmu uwierzytelniania SSO i umożliwia podszycie się pod legalnego użytkownika bez znajomości poprawnych poświadczeń, co w praktyce może prowadzić do pełnego przejęcia panelu administracyjnego urządzenia.
Quest KACE SMA jest rozwiązaniem wykorzystywanym do centralnego zarządzania stacjami roboczymi i serwerami, dlatego jego kompromitacja ma znacznie poważniejsze skutki niż pojedyncze naruszenie zwykłego hosta. Przejęcie takiego appliance może otworzyć drogę do dalszych działań w całym środowisku IT.
W skrócie
Badacze bezpieczeństwa zaobserwowali aktywne próby wykorzystania CVE-2025-32975 przeciwko niezałatanym i publicznie dostępnym instancjom Quest KACE SMA. Atakujący mieli uzyskiwać dostęp administracyjny, wykonywać zdalne polecenia, pobierać dodatkowe ładunki z zewnętrznych serwerów, tworzyć nowe konta administratorów i prowadzić działania post-eksploatacyjne.
- podatność umożliwia obejście uwierzytelniania w mechanizmie SSO,
- atak nie wymaga prawidłowych danych logowania,
- obserwowane były działania obejmujące kradzież poświadczeń i ruch boczny,
- szczególnie zagrożone są systemy niezałatane i wystawione bezpośrednio do Internetu.
Kontekst / historia
Quest KACE SMA pełni w wielu organizacjach rolę centralnego narzędzia do inwentaryzacji zasobów, patch managementu, dystrybucji oprogramowania i automatyzacji działań administracyjnych. Tego typu systemy z natury posiadają szerokie uprawnienia i wysoki poziom zaufania w środowisku, co czyni je wyjątkowo atrakcyjnym celem dla cyberprzestępców.
Choć poprawka dla CVE-2025-32975 została udostępniona już w maju 2025 roku, aktywność ofensywna obserwowana w marcu 2026 pokazuje, że część organizacji nadal nie wdrożyła aktualizacji. To klasyczny przykład sytuacji, w której opóźnienia w patchowaniu systemów zarządzających prowadzą do ryzyka pełnego kompromisu infrastruktury.
Analiza techniczna
Podatność związana jest z obsługą SSO i pozwala napastnikowi uzyskać dostęp jako legalny użytkownik bez przechodzenia standardowego procesu logowania. To oznacza, że atak może ominąć wiele tradycyjnych mechanizmów ochronnych opartych na monitorowaniu prób logowania, błędnych haseł lub kampanii phishingowych.
Zaobserwowany łańcuch ataku wskazuje na szybkie przejście od uzyskania dostępu do działań operacyjnych. Napastnicy wykorzystywali funkcję KPluginRunProcess do uruchamiania poleceń zdalnych w środowisku KACE. W logach widoczne były ładunki zakodowane w Base64, a następnie pobieranie plików z zewnętrznych adresów przy użyciu narzędzia curl.
W fazie utrwalania dostępu tworzono dodatkowe konta administracyjne z użyciem procesu runkbot.exe, który jest powiązany z agentem SMA i służy do uruchamiania skryptów oraz zadań administracyjnych. Dodatkowo obserwowano uruchamianie skryptów PowerShell z parametrami omijającymi politykę wykonania oraz w ukrytym oknie, a także modyfikacje rejestru systemu Windows.
Kolejne działania obejmowały pozyskiwanie poświadczeń z użyciem narzędzi takich jak Mimikatz, rekonesans lokalny i domenowy, a także analizę zalogowanych użytkowników, grup administracyjnych i kontrolerów domeny. W części incydentów odnotowano również dostęp RDP do systemów kopii zapasowych oraz kontrolerów domeny, co znacząco zwiększa potencjał destrukcyjny całej kampanii.
Konsekwencje / ryzyko
Ryzyko związane z CVE-2025-32975 należy ocenić jako skrajnie wysokie. Luka otrzymała ocenę CVSS 10.0 według CISA-ADP, co odzwierciedla możliwość zdalnego wykorzystania bez uwierzytelnienia i bez interakcji użytkownika.
W praktyce skutki skutecznego ataku mogą obejmować przejęcie panelu administracyjnego, wdrożenie złośliwych skryptów, kradzież uprzywilejowanych poświadczeń, ruch boczny do systemów krytycznych oraz przygotowanie środowiska pod ransomware lub sabotaż operacyjny. Szczególnie narażone pozostają organizacje, które utrzymują podatne wersje KACE SMA i jednocześnie udostępniają appliance bezpośrednio z Internetu.
- pełne przejęcie uprawnień administracyjnych,
- kradzież poświadczeń i eskalacja dostępu,
- ruch boczny do kontrolerów domeny i systemów backupowych,
- ukrycie działań pod pozorem legalnej administracji,
- wysokie ryzyko wtórnych ataków ransomware.
Rekomendacje
Organizacje korzystające z Quest KACE SMA powinny jak najszybciej zweryfikować wersję wdrożonego rozwiązania i przejść na wydania zawierające poprawkę bezpieczeństwa. Za bezpieczne wskazywane są wersje 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 oraz 14.1.101 Patch 4 lub nowsze.
Równolegle należy usunąć publiczną ekspozycję interfejsów SMA. Jeśli zdalny dostęp jest wymagany, powinien być realizowany wyłącznie przez VPN, z użyciem segmentacji administracyjnej, list dozwolonych adresów i ścisłych reguł zapory sieciowej.
- natychmiast zaktualizować Quest KACE SMA do poprawionej wersji,
- odciąć bezpośredni dostęp appliance z Internetu,
- przeanalizować logi pod kątem użycia KPluginRunProcess, curl i nietypowego PowerShell,
- sprawdzić, czy nie utworzono nowych kont administracyjnych,
- zweryfikować artefakty związane z runkbot.exe, modyfikacjami rejestru i skryptami tymczasowymi,
- przeprowadzić hunting pod kątem Mimikatz, dumpów LSASS i anomalii RDP,
- potraktować potwierdzoną kompromitację jako incydent o wysokim zasięgu.
W przypadku wykrycia śladów włamania konieczna może być rotacja poświadczeń uprzywilejowanych, przegląd relacji zaufania, kontrola integralności procesów patch managementu i weryfikacja, czy napastnik nie uzyskał trwałego dostępu do innych segmentów infrastruktury.
Podsumowanie
Aktywne wykorzystanie CVE-2025-32975 potwierdza, że systemy do centralnego zarządzania endpointami pozostają jednym z najcenniejszych celów dla napastników. W tym przypadku pojedyncza luka w mechanizmie SSO może doprowadzić do pełnego przejęcia appliance, kradzieży poświadczeń, ruchu bocznego i kompromitacji kluczowych systemów organizacji.
Dla administratorów priorytetem powinno być natychmiastowe wdrożenie poprawek, ograniczenie powierzchni ataku i retrospektywna analiza środowisk, które mogły pozostawać podatne przez dłuższy czas. Brak reakcji może oznaczać, że atakujący już wykorzystują zaufane narzędzie administracyjne przeciwko samej organizacji.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/hackers-exploit-cve-2025-32975-cvss-100.html
- Arctic Wolf — CVE-2025-32975: Arctic Wolf Observes Exploitation of Quest KACE Systems Management Appliance — https://arcticwolf.com/resources/blog/cve-2025-32975/
- NVD — CVE-2025-32975 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-32975