Компания Arctic Wolf зафиксировала подозрительную активность, которая, по её оценке, связана с эксплуатацией уязвимости CVE-2025-32975 в Quest KACE Systems Management Appliance (SMA). Речь идет о критическом баге обхода аутентификации в не обновленных и доступных из интернета инстансах KACE SMA.
Quest KACE SMA — это локальный инструмент для централизованного управления конечными устройствами: он используется для инвентаризации активов, развёртывания ПО, патчинга и мониторинга. Поэтому компрометация такого узла может дать атакующим удобную точку входа в инфраструктуру компании.
Читайте также:
CVE-2025-49825: Полный обход аутентификации в Teleport.
Уязвимость CVE-2025-32975 была раскрыта и исправлена ещё в мае 2025 года. По данным NVD, проблема затрагивала версии KACE SMA 13.0.x до 13.0.385, 13.1.x до 13.1.81, 13.2.x до 13.2.183, 14.0.x до 14.0.341 и 14.1.x до 14.1.101. Ошибка находится в механизме обработки SSO и позволяет атакующему выдавать себя за легитимного пользователя без действительных учётных данных. В описании CVE прямо сказано, что это может привести к полному административному захвату системы.
По шкале CVSS 3.1 от CISA-ADP у CVE-2025-32975 максимальная оценка — 10.0 Critical. Вектор CVSS показывает самый опасный сценарий: эксплуатация по сети, без привилегий и без участия пользователя. Это означает, что для атаки не нужен локальный доступ, не требуется действующий аккаунт и не нужно убеждать жертву что-то открыть или нажать.
Arctic Wolf пишет, что начиная с недели 9 марта 2026 года наблюдала вредоносную активность в сетях клиентов, потенциально связанную именно с эксплуатацией CVE-2025-32975. По данным компании, злоумышленники, вероятно, использовали эту дыру для первоначального доступа, а затем получали административный контроль над системой. Пока это не подается как окончательно подтвержденная массовая эксплуатация, но речь уже идет о признаках атак «в поле».
Отдельно отмечено, что в наблюдавшихся инцидентах не было признаков использования трёх связанных уязвимостей, которые Quest также закрыла в мае 2025 года: CVE-2025-32976, CVE-2025-32977 и CVE-2025-32978. В фокусе исследователей сейчас именно CVE-2025-32975.
Замеченная активность, вероятно, началась в начале марта 2026 года. Кто именно стоит за атаками и какова их конечная цель, исследователи пока не установили.
Quest выпустила официальный материал по четырём уязвимостям KACE SMA ещё 27 мая 2025 года. Это значит, что проблема не “нулевого дня”, а давно закрытая уязвимость, которая теперь, вероятно, догоняет тех, кто не установил обновления.
Практический риск здесь высокий по двум причинам. Во-первых, KACE SMA — это инфраструктурный ИТ-инструмент с широкими правами внутри среды. Во-вторых, сама уязвимость позволяет обойти аутентификацию и выдать себя за легитимного пользователя, а значит, путь к административному доступу получается очень коротким. Оба тезиса прямо следуют из описания продукта, CVE и наблюдений Arctic Wolf.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
