黑客利用CVE-2025-32975漏洞（CVSS 10.0）劫持未修补的Quest KACE SMA系统

据Arctic Wolf公司报告，威胁行为者疑似正在利用影响Quest KACE系统管理设备（SMA）的最高严重级别安全漏洞。

该网络安全公司表示，从2026年3月9日开始的一周内，在客户环境中观察到恶意活动，这些活动与在暴露于互联网的未修补SMA系统上利用CVE-2025-32975漏洞的行为一致。目前尚不清楚攻击的最终目标是什么。

CVE-2025-32975漏洞的CVSS评分为10.0分，属于身份验证绕过漏洞，允许攻击者在没有有效凭据的情况下冒充合法用户。成功利用该漏洞可能导致管理员账户被完全接管。Quest公司已于2025年5月修复了该问题。

在Arctic Wolf检测到的恶意活动中，威胁行为者被认为已经武器化了该漏洞，夺取了管理员账户的控制权，并执行远程命令，通过curl命令从外部服务器（216.126.225[.]156）下载Base64编码的有效载荷。

未知攻击者随后通过"runkbot.exe"创建了额外的管理员账户，这是与SMA代理相关的后台进程，用于运行脚本和管理安装。还检测到通过PowerShell脚本进行的Windows注册表修改，可能是为了实现持久化或系统配置更改。

威胁行为者实施的其他操作包括：

使用Mimikatz进行凭据收集。

通过枚举已登录用户和管理员账户，以及运行"net time"和"net group"命令进行发现和侦察。

获取对备份基础设施（Veeam、Veritas）和域控制器的远程桌面协议（RDP）访问权限。

为应对威胁，建议管理员应用最新更新，避免将SMA实例暴露于互联网。该问题已在版本13.0.385、13.1.81、13.2.183、14.0.341（补丁5）和14.1.101（补丁4）中得到解决。

Q&A

Q1：CVE-2025-32975漏洞的危险程度有多高？

A：CVE-2025-32975漏洞的CVSS评分为10.0分，属于最高严重级别。这是一个身份验证绕过漏洞，攻击者可以在没有有效凭据的情况下冒充合法用户，成功利用后可能导致管理员账户被完全接管。

Q2：Quest KACE SMA系统受到攻击后会发生什么？

A：攻击者利用漏洞获取管理员权限后，会执行多种恶意操作，包括从外部服务器下载有效载荷、创建额外管理员账户、使用Mimikatz收集凭据、进行系统侦察，以及获取备份基础设施和域控制器的远程访问权限。

Q3：如何防护Quest KACE SMA系统免受此漏洞攻击？

A：管理员应立即应用最新的安全更新，Quest已在版本13.0.385、13.1.81、13.2.183、14.0.341（补丁5）和14.1.101（补丁4）中修复了该漏洞。同时避免将SMA实例直接暴露于互联网环境中。