概要

セキュリティ研究者は、未修正のQuest KACE Systems Management Appliance (SMA) インスタンスに対するアクティブな攻撃を検出しました。3月9日から、脅威アクターが深刻な認証バイパス脆弱性（CVE-2025-32975）を利用して企業ネットワークに侵入し、機密情報を収集しています。

Quest KACE SMAの脆弱性

KACE SMAは、ソフトウェア配布からエンドポイント監視までを一元管理する人気のあるオンプレミスソリューションです。CVE-2025-32975は、この装置の単一サインオン（SSO）認証処理メカニズムにおける深刻な脆弱性を表しています。

攻撃者はこの脆弱性を利用して、有効な資格情報なしで正当なユーザーとして偽装し、装置の完全な管理権限を取得することができます。Questは2025年5月にこの脆弱性に対するパッチをリリースしましたが、公開された古いシステムは依然として深刻なリスクにさらされています。

攻撃者の手法

セキュリティ研究者は、攻撃者がSSOバイパスを通じて初期アクセスを得た後、迅速に被害環境で堅牢な足場を築くことを確認しました。KACEソフトウェア内のネイティブのKPluginRunProcess機能を使用してリモートコマンドを実行し、Base64エンコードされたペイロードを利用してセキュリティ検出を回避しています。

攻撃者は、IPアドレス216.126.225.156の外部コマンド＆コントロールサーバーから追加の悪意のあるファイルをダウンロードするために単純なcurlコマンドを使用しています。また、legitimate runkbot.exeプロセスを乱用して非公式の管理者アカウントを作成し、ローカルおよびドメイン管理者グループに偽のユーザーを追加することでネットワーク制御を確立します。

影響と対策

攻撃者は、Mimikatzツールを使用してメモリから平文資格情報を収集し、ネイティブな列挙コマンドを使用してローカル環境とドメイン管理者構造をマッピングします。その後、ネットワーク内で横展開を行い、重要なインフラストラクチャ要素にリモートデスクトッププロトコル（RDP）セッションを確立しています。

組織は、KACE SMA環境を最新のパッチ済みバージョンにアップグレードする必要があります。13.0, 13.1, 13.2 ブランチを使用しているユーザーはそれぞれ、13.0.385, 13.1.81, 13.2.183以降のバージョンにアップグレードする必要があります。また、新しい14.0と14.1ブランチでは、パッチ5（バージョン14.0.341）とパッチ4（バージョン14.1.101）を適用してシステムを保護します。

さらに、組織はKACE SMAインターフェースをインターネットから削除し、リモート管理アクセスを安全なVPNまたはエンタープライズファイアウォールに制限することで、外部攻撃面を最小化する必要があります。

元記事: https://gbhackers.com/hackers-exploit-quest-kace-sma-flaw/