セキュリティ研究者が、パッチが当たっていないQuest KACE Systems Management Appliance (SMA) インスタンスを対象とした積極的な悪用を検出しました。
2026年3月9日の週から、脅威行為者は重大な認証バイパス脆弱性(CVE-2025-32975として特定)を悪用して、企業ネットワークに侵入し、機密の認証情報を盗み、重要インフラへの侵攻を開始しました。
Quest KACE SMAの脆弱性
Quest KACE SMAは、ソフトウェア配置からエンドポイント監視まで、幅広いタスクを処理する集中型エンドポイント管理用の人気のあるオンプレミスソリューションです。
CVE-2025-32975は、アプライアンスのシングルサインオン(SSO)認証メカニズム内の深刻な欠陥です。
この脆弱性を悪用することで、攻撃者は認証プロトコルを正常にバイパスし、有効な認証情報なしで正規ユーザーになりすまして完全な管理者権限を奪うことができます。
Questは当初、この欠陥に対するパッチを2025年5月に他の関連する脆弱性とともにリリースしましたが、公開され古いシステムは、ほぼ1年後の現在も悪用のリスクに極めて脆弱です。
Arctic Wolfのセキュリティ研究者は、SSO バイパスを通じた初期アクセスを得た後、攻撃者が犠牲者の環境に強固な足がかりを確立するために急速に行動することを発見しました。
彼らはKACE ソフトウェア内のネイティブKPluginRunProcess機能を利用してリモートコマンドを実行し、即座のセキュリティ検出を回避するためにBase64エンコードされたペイロードを多用します。
研究者は、攻撃者が単純なcurlコマンドを使用してIPアドレス216.126.225.156にあるコマンド&コントロールサーバーから追加の悪意あるファイルをダウンロードしていることを観察しました。
ステルス的な永続性を維持するため、脅威行為者は正規のrunkbot.exeプロセスを悪用して不正な管理者アカウントを生成します。
彼らはローカルおよびドメイン管理者グループに不正なユーザーを追加して、ネットワーク制御を確固たるものにしようと積極的に試みます。
さらに、攻撃者はEnable-UpdateServices.ps1やtaskband.ps1などの隠されたPowerShellスクリプトをデプロイして、レジストリ設定をサイレントに変更し、バックドアアクセスがシステム再起動とルーチンメンテナンスに耐えることを保証します。
根付いた後、作戦は完全に認証情報アクセスと内部偵察にシフトします。
攻撃者は悪名高いMimikatzツール(時にはasd.exeという任意のファイル名で巧みに偽装される)をデプロイして、メモリから直接平文の認証情報を盗みます。
その後、ネイティブの列挙コマンドを使用してローカル環境とドメイン管理構造を積極的にマッピングします。
新しい認証情報とネットワークマップを持ち、敵はネットワークを通じて横展開します。
最も懸念すべきことに、研究者は攻撃者がドメインコントローラーやVeeamまたはVeritasソフトウェアを実行しているエンタープライズバックアップサーバーを含む重要インフラ要素へのリモートデスクトッププロトコル(RDP)セッションを確立していることを発見しました。
緩和策とバージョンアップグレード
悪用を防ぐために、管理者は直ちにKACE SMA環境を最新のパッチが当たったリリースにアップグレードする必要があります。
古い13.0、13.1、13.2ブランチを運用しているユーザーは、それぞれバージョン13.0.385、13.1.81、13.2.183以降にアップグレードする必要があります。
同様に、新しい14.0および14.1ブランチを運用している環境は、パッチ5(バージョン14.0.341)およびパッチ4(バージョン14.1.101)を適用して、システムをセキュアにする必要があります。
さらに、組織はKACE SMAインターフェースをパブリックインターネットから積極的に削除し、リモート管理アクセスをセキュアなVPN またはエンタープライズファイアウォールのみに制限して、外部攻撃面を最小限に抑えるべきです。
翻訳元: https://gbhackers.com/hackers-exploit-quest-kace-sma-flaw/
