Хакеры уже захватывают серверы через дыру в Quest KACE — вы всё ещё не закрыли её?

Компания Arctic Wolf зафиксировала атаки на корпоративные системы через уязвимость CVE-2025-32975 в Quest KACE Systems Management Appliance. Оценка по шкале CVSS — 10.0, то есть максимально возможный балл. Патч вышел ещё в мае 2025 года, но атаки, по данным Arctic Wolf, начались на неделе 9 марта 2026 года — и направлены именно против тех, кто так и не удосужился обновиться.
Хакеры уже захватывают серверы через дыру в Quest KACE — вы всё ещё не закрыли её?
Изображение носит иллюстративный характер

Уязвимость относится к классу authentication bypass: злоумышленник обходит процедуру аутентификации и получает доступ к системе без каких-либо действительных учётных данных. Это не «теоретическая возможность» из CVE-базы — это уже работающий эксплойт в руках реальных атакующих, цели которых пока неизвестны.
После получения доступа атакующие действуют по чёткой схеме. Первым делом они захватывают административные учётные записи и выполняют удалённые команды, загружая Base64-кодированные пейлоады с внешнего сервера через обычный curl. Адрес этого сервера зафиксирован: 216.126.225[.]156.
Для закрепления в системе используется runkbot.exe — легитимный фоновый процесс агента KACE SMA, предназначенный для запуска скриптов и управления установками. Через него создаются дополнительные мошеннические административные аккаунты. Параллельно запускается PowerShell-скрипт, модифицирующий реестр Windows — предположительно для обеспечения устойчивого присутствия.
Для кражи паролей применяется Mimikatz — один из самых известных инструментов для извлечения учётных данных из памяти Windows. Факт его использования говорит о том, что атакующие не ограничиваются одним скомпрометированным узлом и планируют двигаться дальше по сети.
Разведка включает перечисление залогиненных пользователей и администраторов, а также выполнение команд net time и net group для картирования сети. После этого через RDP атакующие пробиваются в инфраструктуру резервного копирования — Veeam и Veritas — и к контроллерам домена. Доступ к доменным контроллерам означает фактический контроль над всей Active Directory организации.
Примечательно, что конечная цель атак остаётся неустановленной. Это может говорить о разведывательной операции, подготовке к более масштабной атаке или о том, что часть инцидентов попросту не была раскрыта полностью.
Закрытые версии KACE SMA, в которых уязвимость устранена: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) и 14.1.101 (Patch 4). Если версия, которую использует организация, не входит в этот список — система потенциально открыта для атаки прямо сейчас.
Помимо обновления, Quest и Arctic Wolf настоятельно рекомендуют убрать инстансы SMA из публичного доступа в интернет. KACE SMA — это система управления устройствами внутри корпоративной сети, и никаких оснований выставлять её наружу нет. Если она сейчас доступна из интернета, это само по себе является проблемой безопасности вне зависимости от CVE-2025-32975.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка