Atacantes explotan CVE-2025-32975 (CVSS 10.0) para secuestrar sistemas Quest KACE SMA sin parchear

Se sospecha que actores de amenazas están explotando una vulnerabilidad de gravedad máxima que afecta a Quest KACE Systems Management Appliance (SMA), según Arctic Wolf. La empresa de ciberseguridad informó que observó actividad maliciosa a partir de la semana del 9 de marzo de 2026 en entornos de clientes, consistente con la explotación de CVE-2025-32975 en sistemas SMA sin parchear expuestos a internet. Aún se desconocen los objetivos finales del ataque.

Se sospecha que actores de amenazas están explotando una vulnerabilidad de gravedad máxima que afecta a Quest KACE Systems Management Appliance (SMA), según informó Arctic Wolf. La empresa de ciberseguridad detectó actividad maliciosa a partir de la semana del 9 de marzo de 2026 en entornos de clientes, consistente con la explotación de la vulnerabilidad CVE-2025-32975 en sistemas SMA sin parchear expuestos a internet. Aún se desconocen los objetivos finales del ataque.

CVE-2025-32975 (puntuación CVSS: 10.0) es una vulnerabilidad de omisión de autenticación que permite a los atacantes hacerse pasar por usuarios legítimos sin credenciales válidas. La explotación exitosa de esta falla puede facilitar la toma completa de cuentas administrativas. Quest corrigió el problema en mayo de 2025.

En la actividad maliciosa detectada por Arctic Wolf, se cree que los atacantes utilizaron la vulnerabilidad para tomar control de cuentas administrativas y ejecutar comandos remotos para descargar cargas útiles codificadas en Base64 desde un servidor externo (216.126.225[.]156) mediante el comando curl. Luego, los atacantes procedieron a crear cuentas administrativas adicionales a través de 'runkbot.exe', un proceso en segundo plano asociado con el agente SMA que se utiliza para ejecutar scripts y gestionar instalaciones. También se detectaron modificaciones en el Registro de Windows mediante un script de PowerShell para posibles cambios de persistencia o configuración del sistema.

Otras acciones realizadas por los atacantes

Recolección de credenciales utilizando Mimikatz.
Realización de descubrimiento y reconocimiento enumerando usuarios conectados y cuentas de administrador, y ejecutando comandos 'net time' y 'net group'.
Obtención de acceso mediante protocolo de escritorio remoto (RDP) a la infraestructura de respaldo (Veeam, Veritas) y controladores de dominio.

Para contrarrestar la amenaza, se recomienda a los administradores aplicar las últimas actualizaciones y evitar exponer las instancias SMA a internet. El problema se ha solucionado en las versiones 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Parche 5) y 14.1.101 (Parche 4).