Arctic Wolf ha detectado actividad compatible con la explotación en curso de CVE-2025-32975 (severidad CVSS 10.0) contra instancias Quest KACE SMA sin parchear y expuestas a Internet. El fallo permite un bypass de autenticación y puede acabar en control administrativo y movimientos laterales hacia sistemas críticos, incluidos controladores de dominio y plataformas de backups.
Una vulnerabilidad crítica identificada como CVE-2025-32975 (con puntuación máxima CVSS 10.0) está siendo explotada activamente contra sistemas Quest KACE Systems Management Appliance (SMA) que no han sido actualizados y que permanecen accesibles desde Internet, según actividad observada por Arctic Wolf. El problema se describe como un bypass de autenticación, lo que implica que un atacante podría suplantar a usuarios legítimos sin disponer de credenciales válidas y, en determinadas condiciones, alcanzar un nivel de control equivalente al de una cuenta con privilegios administrativos. En entornos donde KACE SMA se utiliza para administración de endpoints, inventario y despliegue de software, una intrusión de este tipo puede convertirse rápidamente en un punto de apoyo de alto valor.
La telemetría citada sitúa el inicio de los indicios a partir de la semana del 9 de marzo de 2026 en entornos de clientes, con patrones consistentes con explotación sobre instancias vulnerables expuestas. Tras el acceso inicial, los atacantes habrían ejecutado comandos remotos y descargado cargas adicionales codificadas en Base64 desde infraestructura externa, incluyendo el servidor 216.126.225[.]156, utilizando herramientas como curl. Este tipo de descarga y ejecución por etapas es habitual cuando se busca mantener flexibilidad: primero se obtiene acceso, después se incorpora el tooling necesario para reconocimiento, persistencia y escalado.
Uno de los elementos más relevantes observados es la creación de nuevas cuentas con privilegios de administrador, asociada al proceso runkbot.exe, que se vincula al SMA Agent y a la ejecución de scripts e instalaciones. En un contexto de administración de sistemas, el abuso de mecanismos legítimos de automatización es especialmente peligroso porque puede camuflar acciones maliciosas entre operaciones rutinarias. También se detectaron modificaciones del Registro de Windows mediante PowerShell, una señal que puede corresponder a cambios de configuración, habilitación de capacidades, o intentos de persistencia.
En la fase de post-explotación, se describe actividad de robo de credenciales con Mimikatz, además de tareas de reconocimiento como enumeración de usuarios con sesión iniciada y cuentas con privilegios. Asimismo, aparecen comandos típicos de verificación y enumeración como net time y net group, que ayudan a entender la estructura del dominio y los recursos accesibles. Con credenciales y visibilidad suficientes, los atacantes dieron el salto mediante RDP hacia infraestructura especialmente sensible: plataformas de copia de seguridad como Veeam y Veritas, y también hacia controladores de dominio. Este punto es crítico: el acceso a sistemas de backups puede facilitar la interrupción de la recuperación ante incidentes, y el acceso a un Domain Controller puede derivar en compromiso generalizado del entorno.
Aunque el objetivo final de la campaña no se concreta, el patrón (toma de control, obtención de credenciales y movimiento lateral a activos clave) encaja con operaciones orientadas a maximizar el impacto potencial. La vulnerabilidad fue corregida por Quest en mayo de 2025, por lo que el riesgo se concentra en organizaciones que aún no han aplicado los parches o que mantienen el servicio expuesto. La mitigación prioritaria pasa por actualizar KACE SMA a versiones corregidas, reducir drásticamente la superficie de exposición evitando publicarlo directamente en Internet, y revisar indicadores como cuentas admin inesperadas, actividad anómala vinculada a runkbot.exe, descargas con curl y conexiones RDP inusuales hacia Veeam/Veritas y controladores de dominio.
Más información
- The Hacker News: https://thehackernews.com/2026/03/hackers-exploit-cve-2025-32975-cvss-100.html
- Arctic Wolf : https://arcticwolf.com/resources/blog/cve-2025-32975/
Deja una respuesta