ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьХакеры используют уязвимость CVE-2025-32975 (CVSS 10.0) для взлома незащищенных систем Quest KACE SMA
По данным компании Arctic Wolf, злоумышленники, по всей видимости, используют уязвимость максимальной степени опасности, затрагивающую устройство Quest KACE Systems Management Appliance (SMA).
Компания, занимающаяся кибербезопасностью, сообщила, что начиная с недели 9 марта 2026 года она наблюдала в средах клиентов вредоносную активность, которая соответствует эксплуатации уязвимости CVE-2025-32975 на незащищенных системах SMA, подключенных к Интернету. В настоящее время неизвестно, каковы конечные цели атаки.
CVE-2025-32975 (оценка CVSS: 10,0) относится к уязвимости обхода аутентификации, которая позволяет злоумышленникам выдавать себя за легитимных пользователей без действительных учетных данных. Успешная эксплуатация этой уязвимости может способствовать полному захвату административных учетных записей. Проблема была исправлена компанией Quest в мае 2025 года.
В рамках вредоносной активности, обнаруженной Arctic Wolf, предполагается, что злоумышленники использовали эту уязвимость для захвата контроля над административными учетными записями и выполнения удаленных команд с целью загрузки кода, закодированного в Base64, с внешнего сервера (216.126.225[.]156) с помощью команды curl.
Затем неизвестные злоумышленники приступили к созданию дополнительных административных учетных записей с помощью «runkbot.exe» — фонового процесса, связанного с SMA Agent, который используется для запуска скриптов и управления установками. Также были обнаружены изменения в реестре Windows с помощью скрипта PowerShell, возможно, для обеспечения устойчивости или изменения конфигурации системы.
Другие действия, предпринятые злоумышленниками, перечислены ниже:
Сбор учетных данных с помощью Mimikatz.
Выявление и разведка путем перечисления вошедших в систему пользователей и учетных записей администраторов, а также запуска команд «net time» и «net group».
Получение доступа по протоколу удаленного рабочего стола (RDP) к инфраструктуре резервного копирования (Veeam, Veritas) и контроллерам домена.
Для противодействия угрозе администраторам рекомендуется установить последние обновления и избегать подключения экземпляров SMA к Интернету. Проблема устранена в версиях 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) и 14.1.101 (Patch 4).
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться