Компания Arctic Wolf зафиксировала атаки на корпоративные системы через уязвимость CVE-2025-32975 в Quest KACE Systems Management Appliance. Оценка по шкале CVSS — 10.0, то есть максимально возможный балл. Патч вышел ещё в мае 2025 года, но атаки, по данным Arctic Wolf, начались на неделе 9 марта 2026 года — и направлены именно против тех, кто так и не удосужился обновиться.
Уязвимость относится к классу authentication bypass: злоумышленник обходит процедуру аутентификации и получает доступ к системе без каких-либо действительных учётных данных. Это не «теоретическая возможность» из CVE-базы — это уже работающий эксплойт в руках реальных атакующих, цели которых пока неизвестны.
После получения доступа атакующие действуют по чёткой схеме. Первым делом они захватывают административные учётные записи и выполняют удалённые команды, загружая Base64-кодированные пейлоады с внешнего сервера через обычный
Для закрепления в системе используется
Для кражи паролей применяется Mimikatz — один из самых известных инструментов для извлечения учётных данных из памяти Windows. Факт его использования говорит о том, что атакующие не ограничиваются одним скомпрометированным узлом и планируют двигаться дальше по сети.
Разведка включает перечисление залогиненных пользователей и администраторов, а также выполнение команд
Примечательно, что конечная цель атак остаётся неустановленной. Это может говорить о разведывательной операции, подготовке к более масштабной атаке или о том, что часть инцидентов попросту не была раскрыта полностью.
Закрытые версии KACE SMA, в которых уязвимость устранена: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) и 14.1.101 (Patch 4). Если версия, которую использует организация, не входит в этот список — система потенциально открыта для атаки прямо сейчас.
Помимо обновления, Quest и Arctic Wolf настоятельно рекомендуют убрать инстансы SMA из публичного доступа в интернет. KACE SMA — это система управления устройствами внутри корпоративной сети, и никаких оснований выставлять её наружу нет. Если она сейчас доступна из интернета, это само по себе является проблемой безопасности вне зависимости от CVE-2025-32975.
Изображение носит иллюстративный характер
Уязвимость относится к классу authentication bypass: злоумышленник обходит процедуру аутентификации и получает доступ к системе без каких-либо действительных учётных данных. Это не «теоретическая возможность» из CVE-базы — это уже работающий эксплойт в руках реальных атакующих, цели которых пока неизвестны.
После получения доступа атакующие действуют по чёткой схеме. Первым делом они захватывают административные учётные записи и выполняют удалённые команды, загружая Base64-кодированные пейлоады с внешнего сервера через обычный
curl. Адрес этого сервера зафиксирован: 216.126.225[.]156. Для закрепления в системе используется
runkbot.exe — легитимный фоновый процесс агента KACE SMA, предназначенный для запуска скриптов и управления установками. Через него создаются дополнительные мошеннические административные аккаунты. Параллельно запускается PowerShell-скрипт, модифицирующий реестр Windows — предположительно для обеспечения устойчивого присутствия. Для кражи паролей применяется Mimikatz — один из самых известных инструментов для извлечения учётных данных из памяти Windows. Факт его использования говорит о том, что атакующие не ограничиваются одним скомпрометированным узлом и планируют двигаться дальше по сети.
Разведка включает перечисление залогиненных пользователей и администраторов, а также выполнение команд
net time и net group для картирования сети. После этого через RDP атакующие пробиваются в инфраструктуру резервного копирования — Veeam и Veritas — и к контроллерам домена. Доступ к доменным контроллерам означает фактический контроль над всей Active Directory организации. Примечательно, что конечная цель атак остаётся неустановленной. Это может говорить о разведывательной операции, подготовке к более масштабной атаке или о том, что часть инцидентов попросту не была раскрыта полностью.
Закрытые версии KACE SMA, в которых уязвимость устранена: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) и 14.1.101 (Patch 4). Если версия, которую использует организация, не входит в этот список — система потенциально открыта для атаки прямо сейчас.
Помимо обновления, Quest и Arctic Wolf настоятельно рекомендуют убрать инстансы SMA из публичного доступа в интернет. KACE SMA — это система управления устройствами внутри корпоративной сети, и никаких оснований выставлять её наружу нет. Если она сейчас доступна из интернета, это само по себе является проблемой безопасности вне зависимости от CVE-2025-32975.
