概要

サイバーセキュリティ企業Arctic Wolfは、ハッカーが最大深刻度の脆弱性CVE-2025-32975を悪用し、Quest KACE Systems Management Appliance (SMA)システムを乗っ取っていると報告しました。この脆弱性はCVSSスコア10.0で、認証バイパスが可能であり、攻撃者は有効な資格情報なしで正当なユーザーを偽装することができます。

詳細

Arctic Wolfによると、3月9日から観測された顧客環境での悪意のある活動は、インターネットに公開されている未修正のSMAシステムに対するCVE-2025-32975の脆弱性を悪用している可能性があります。攻撃者の最終的な目的についてはまだ不明です。

攻撃手法

攻撃者は、以下の手順でSMAシステムを乗っ取りました：

• 認証バイパスの悪用：CVE-2025-32975は、有効な資格情報なしで正当なユーザーを偽装する可能性があります。
• 管理者アカウントの制御：攻撃者は、runkbot.exeというバックグラウンドプロセスを使用して、追加の管理者アカウントを作成しました。これはSMAエージェントに関連するプロセスで、スクリプトを実行したりインストールを管理したりします。
• リモートコマンドの実行：攻撃者はcurlコマンドを使用して外部サーバー（216.126.225[.]156）からBase64エンコードされたペイロードをダウンロードしました。
• Windowsレジストリの変更：攻撃者はPowerShellスクリプトを使用して、Windowsレジストリを変更し、持続性やシステム設定の変更のために使用されました。

その他の活動

攻撃者によって行われた他の活動には以下が含まれます：

• Credential Harvesting：Mimikatzを使用して資格情報を収集。
• 発見と偵察：ログインユーザーおよび管理者アカウントの列挙、net timeとnet groupコマンドを実行。
• RDPアクセスの取得：VeeamやVeritasなどのバックアップインフラストラクチャやドメインコントローラーへのリモートデスクトッププロトコル（RDP）アクセスを取得。

対策

管理者は、以下の手順でこの脅威に対抗することができます：

• 最新の更新プログラムの適用：SMAインスタンスに公開しないようにし、未修正システムを保護します。
• 脆弱性の修正：CVE-2025-32975はQuestによって2025年5月に修正されました。修正済みバージョンには13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5), and 14.1.101 (Patch 4)が含まれます。

---

元記事: https://thehackernews.com/2026/03/hackers-exploit-cve-2025-32975-cvss-100.html