Alerta por explotación de CVE-2025-32975 en sistemas Quest KACE SMA
Publicado el
Explotación de CVE-2025-32975
Recientes informes de Arctic Wolf han revelado que actores maliciosos están aprovechando una vulnerabilidad crítica en el Quest KACE Systems Management Appliance (SMA). Esta falla, identificada como CVE-2025-32975 y con un CVSS de 10.0, permite a los atacantes eludir la autenticación y hacerse pasar por usuarios legítimos sin necesidad de credenciales válidas.
Actividad Maliciosa Detectada
Desde la semana del 9 de marzo de 2026, se han observado indicios de actividad sospechosa en entornos de clientes, sugiriendo que los atacantes están explotando esta vulnerabilidad en sistemas SMA que no han sido parcheados y están expuestos a Internet. Aunque los objetivos finales de estos ataques aún no están claros, se presume que buscan el control total de cuentas administrativas.
La explotación exitosa de esta vulnerabilidad podría facilitar la toma de control de cuentas administrativas, permitiendo a los atacantes ejecutar comandos remotos y descargar payloads codificados en Base64 desde un servidor externo utilizando el comando `curl`.
Técnicas Utilizadas por los Atacantes
Los atacantes, que permanecen en el anonimato, han utilizado la vulnerabilidad para: - Crear cuentas administrativas adicionales mediante el proceso `runkbot.exe`, asociado al SMA Agent, que gestiona la ejecución de scripts e instalaciones. - Modificar el registro de Windows a través de un script de PowerShell, posiblemente para establecer persistencia o realizar cambios en la configuración del sistema. - Recopilar credenciales utilizando herramientas como Mimikatz. - Realizar descubrimiento y reconocimiento mediante la enumeración de usuarios conectados y cuentas administrativas, así como ejecutar comandos como `net time` y `net group`. - Obtener acceso a través del Protocolo de Escritorio Remoto (RDP) a infraestructuras de respaldo como Veeam y Veritas, así como a controladores de dominio.
Recomendaciones de Seguridad
Para protegerse contra esta amenaza, se aconseja a los administradores que: - Apliquen las últimas actualizaciones de seguridad publicadas por Quest, que abordan esta vulnerabilidad en las versiones 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) y 14.1.101 (Patch 4). - Eviten exponer instancias de SMA a Internet para reducir el riesgo de explotación.
Conclusión
La explotación de CVE-2025-32975 representa un grave riesgo para los sistemas desactualizados. La rápida aplicación de parches y la revisión de la exposición de las instancias SMA son esenciales para mitigar el impacto de estos ataques. La comunidad de ciberseguridad debe permanecer alerta y proactiva ante estas amenazas emergentes.