セキュリティ研究者の新しい知見によると、ハッカーはQuest KACEシステム管理アプライアンス(SMA)の重大な脆弱性を積極的に悪用して、不正アクセスを獲得し、認証情報を収集し、エンタープライズネットワーク全体に横展開しています。
CVE-2025-32975として追跡されているこの脆弱性は、アプライアンスのシングルサインオン(SSO)認証メカニズムに影響を及ぼし、攻撃者が認証を完全にバイパスすることを可能にしています。
これにより、脅威アクターは有効なログイン認証情報なしに正規ユーザーになりすまし、実質的に脆弱なシステムに対する完全な管理者制御を獲得することができます。
Quest KACE SMAは、ソフトウェア展開、パッチ適用、デバイス監視を含む一元化されたエンドポイント管理のために組織によって広く使用されています。
エンタープライズ環境への深い統合により、攻撃者にとって高価値のターゲットとなっています。
この脆弱性のパッチは2025年5月にリリースされましたが、多くの組織がシステムの更新に失敗しています。
その結果、パッチが適用されていないインターネット公開アプライアンスは現在、実環境で積極的に標的にされています。研究者は2026年3月9日週から始まる悪用活動を観察しました。
彼らは組み込みのKPluginRunProcess機能を活用してリモートコマンドを実行し、検出回避のためにBase64エンコードされたペイロードを使用することがよくあります。
観察された攻撃では、脅威アクターはシンプルなcurlコマンドを使用して、IPアドレス216.126.225.156でホストされた外部コマンド&コントロールサーバーから追加の悪意のあるペイロードをダウンロードしました。
これは、さらなる侵害をステージングするためのシンプルながら効果的な方法を示しています。
永続性を維持するために、攻撃者はrunkbot.exeなどの正当なシステムプロセスを悪用して、不正な管理アカウントを作成します。
これらの不正なアカウントはローカルおよびドメイン管理者グループに追加され、元のエントリーポイントが検出された場合でも継続的なアクセスを保証します。
攻撃者はEnable-UpdateServices.ps1およびtaskband.ps1などのファイルを含む隠密なPowerShellスクリプトもデプロイし、レジストリ設定を変更して長期的なバックドアアクセスを確立します。
これらの変更により、悪意のある存在がシステム再起動および定期的なメンテナンス操作を生き残ることができます。
永続性を確保した後、焦点は認証情報の収集と内部偵察にシフトします。攻撃者はMimikatzをデプロイし、時にはasd.exeなどの無害な実行ファイルに偽装して、システムメモリから直接プレーンテキストの認証情報を抽出します。
これらの認証情報を使用して、ネットワーク環境をマッピングし、高価値ターゲットを特定します。
研究者はリモートデスクトッププロトコル(RDP)を介した横展開を観察し、攻撃者はドメインコントローラーおよびVeeamおよびVeritasソフトウェアを実行しているものを含むエンタープライズバックアップシステムなどの重要なインフラストラクチャへのアクセスを獲得しました。
このレベルのアクセスにより、広範な侵害、データ盗難、またはランサムウェア展開のリスクが大幅に増加します。
セキュリティ専門家は、組織が影響を受けるシステムに直ちにパッチを適用することを強く促しています。13.0、13.1、13.2を含む以前のバージョンを実行しているユーザーは、バージョン13.0.385、13.1.81、13.2.183以降にアップグレードする必要があります。
新しいデプロイメントの場合、バージョン14.0にはパッチ5(14.0.341)が必要であり、バージョン14.1にはパッチ4(14.1.101)が必要です。
パッチ適用に加えて、組織はKACE SMAインターフェースをパブリックインターネット公開から削除する必要があります。
VPNまたは安全なネットワーク境界を通じてアクセスを制限することにより、攻撃面を大幅に削減し、不正な悪用を防ぐことができます。
進行中のキャンペーンは、パッチが適用されていないシステムがもたらす持続的なリスクと、攻撃者がエンタープライズ環境に浸透するために既知の脆弱性を兵器化する速度を強調しています。
翻訳元: https://cyberpress.org/quest-kace-sma-flaw/