Hackers Exploit CVE-2025-32975 (CVSS 10.0) to Hijack Unpatched Quest KACE SMA Systems
Mis à jour :
Exploitation active de la faille critique CVE-2025-32975 dans Quest KACE SMA
Des cyberattaquants exploitent activement la vulnérabilité critique CVE-2025-32975 affectant les appliances Quest KACE (SMA) non corrigées et exposées sur Internet. Cette campagne permet une prise de contrôle totale des comptes administrateurs, suivie d’une phase d’exécution de commandes distantes pour déployer des charges malveillantes et établir une persistance au sein des infrastructures ciblées.
Points clés de l’attaque :
- Contournement d’authentification : Utilisation de la vulnérabilité pour usurper l’identité d’utilisateurs légitimes.
- Persistance et escalade : Création de nouveaux comptes administrateurs via le processus
runkbot.exeet modifications du Registre Windows via PowerShell. - Activités post-compromission : Utilisation de Mimikatz pour le vol d’identifiants, reconnaissance du réseau (énumération des utilisateurs/domaines) et accès RDP vers les serveurs de sauvegarde (Veeam, Veritas) et les contrôleurs de domaine.
- Communication C2 : Téléchargement de payloads encodés en Base64 depuis une infrastructure externe (216.126.225[.]156).
Vulnérabilité identifiée :
- CVE-2025-32975 : Score CVSS 10.0 (Critique). Faille de contournement d’authentification permettant une prise de contrôle administrative complète.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs fournis par Quest. La vulnérabilité est résolue dans les versions 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) et 14.1.101 (Patch 4).
- Isolation réseau : Cesser d’exposer les instances KACE SMA directement sur Internet.
- Audit de sécurité : Rechercher tout compte administrateur suspect ou toute modification non autorisée du registre et des scripts système.