Hakerzy przejmują systemy Quest KACE SMA. Krytyczna luka CVE-2025-32975 (CVSS 10.0)

W świecie cyberbezpieczeństwa ocena CVSS 10.0 to czerwona flaga najwyższego stopnia, oznaczająca błąd krytyczny, który nie wymaga od napastnika fizycznego dostępu ani zaawansowanych uprawnień. Dokładnie z taką sytuacją mierzą się obecnie administratorzy systemów Quest KACE Systems Management Appliance (SMA). Grupy hakerskie rozpoczęły masowe skanowanie sieci w poszukiwaniu niezałatanych jednostek, wykorzystując podatność CVE-2025-32975 do przejmowania pełnej kontroli nad infrastrukturą zarządzania urządzeniami końcowymi.

Pierwsze sygnały o aktywnej eksploatacji pojawiły się w marcu 2026 roku, kiedy badacze z Arctic Wolf odnotowali podejrzany ruch w środowiskach klientów posiadających systemy SMA wystawione bezpośrednio na działanie publicznego internetu. Skala zagrożenia jest o tyle duża, że Quest KACE SMA to potężne narzędzie służące do inwentaryzacji sprzętu, dystrybucji oprogramowania i łatania systemów operacyjnych. W rękach cyberprzestępców staje się ono idealnym narzędziem do dystrybucji ransomware lub eksfiltracji danych na masową skalę.

Anatomia krytycznego błędu w sercu infrastruktury

Podatność CVE-2025-32975 dotyczy błędu typu Remote Code Execution (RCE), który pozwala nieuwierzytelnionemu napastnikowi na wykonanie dowolnych poleceń z uprawnieniami systemowymi. W praktyce oznacza to, że osoba atakująca może ominąć mechanizmy logowania i uzyskać dostęp do panelu administracyjnego z najwyższymi uprawnieniami. Ponieważ SMA z założenia posiada szeroki dostęp do wszystkich urządzeń w sieci korporacyjnej, przejęcie tego jednego punktu daje napastnikom "klucze do królestwa".

Eksperci wskazują, że wektor ataku opiera się na nieprawidłowej walidacji danych wejściowych w jednym z publicznie dostępnych punktów końcowych API urządzenia. Grupy Threat Actors wykorzystują ten błąd do wstrzykiwania złośliwego kodu, który następnie jest wykonywany przez serwer. Wstępna analiza incydentów sugeruje następujący przebieg ataku:

• Skanowanie portów w poszukiwaniu aktywnych instancji Quest KACE SMA.
• Wysłanie specjalnie spreparowanego żądania HTTP do podatnego komponentu webowego.
• Uruchomienie reverse shell, dającego napastnikowi interaktywny dostęp do linii komend serwera.
• Wykorzystanie wbudowanych funkcji SMA do dystrybucji złośliwych skryptów na stacje robocze pracowników.

Dlaczego tradycyjne zabezpieczenia zawiodły

Większość organizacji dotkniętych atakami opierała swoje bezpieczeństwo na tradycyjnym modelu obwodowym, w którym urządzenia zarządzające są chronione jedynie przez proste reguły zapory ogniowej lub wystawione bezpośrednio do sieci w celu ułatwienia pracy zdalnej. W dobie Zero Trust takie podejście jest skrajnie ryzykowne. Napastnicy potrafią błyskawicznie zidentyfikować luki w oprogramowaniu typu legacy i wykorzystać je, zanim działy IT zdążą przeprowadzić cykl testowania i wdrażania poprawek.

Problem potęguje fakt, że wiele systemów SMA nie było regularnie aktualizowanych ze względu na obawy przed przestojami w pracy działów technicznych. Tymczasem Quest wydał już stosowne poprawki, jednak tempo ich implementacji w globalnych organizacjach pozostaje niezadowalające. Brak segmentacji sieci sprawia, że po przełamaniu bariery SMA, hakerzy mogą swobodnie poruszać się poziomo (lateral movement) po całej infrastrukturze, docierając do baz danych i serwerów kopii zapasowych.

"Kiedy narzędzie zaprojektowane do zabezpieczania sieci staje się jej najsłabszym ogniwem, mamy do czynienia z paradoksem bezpieczeństwa, który wymaga natychmiastowej zmiany architektury dostępu."

Konieczność przejścia na model ZTNA

Incydent z CVE-2025-32975 stanowi ostateczny argument za porzuceniem przestarzałych rozwiązań VPN na rzecz Zero Trust Network Access (ZTNA). Tradycyjne VPN-y często dają zbyt szeroki dostęp do sieci po udanym uwierzytelnieniu, podczas gdy ZTNA stosuje zasadę najmniejszych uprawnień. W modelu nowoczesnym, nawet jeśli urządzenie takie jak Quest KACE SMA posiada lukę, nie powinno ono być widoczne dla nikogo spoza wąskiego grona uprawnionych administratorów, a już na pewno nie dla całego internetu.

Kluczowe korzyści z wdrożenia Comprehensive ZTNA w kontekście ochrony systemów zarządzania to:

• Ukrywanie zasobów: Systemy SMA stają się niewidoczne dla skanerów publicznych, co uniemożliwia napastnikom ich wykrycie.
• Weryfikacja tożsamości i kontekstu: Dostęp do panelu zarządzania jest przyznawany nie tylko na podstawie hasła, ale także stanu bezpieczeństwa urządzenia administratora i jego lokalizacji.
• Mikrosegmentacja: Ograniczenie komunikacji SMA wyłącznie do niezbędnych portów i protokołów wymaganych do zarządzania końcówkami, co blokuje próby lateral movement.

Wymuszona ewolucja higieny cyfrowej

Obecna kampania wymierzona w użytkowników Quest KACE SMA to nie jest odosobniony przypadek, lecz element szerszego trendu celowania w oprogramowanie do zarządzania infrastrukturą (RMM/SMA). Dla cyberprzestępców jest to najbardziej opłacalny cel — jeden udany exploit pozwala na zainfekowanie tysięcy maszyn końcowych. Organizacje muszą przestać traktować łatanie systemów jako proces opcjonalny lub drugorzędny. W przypadku błędów o skali 10.0 CVSS, czas reakcji liczony w dniach jest już spóźnionym działaniem.

Można z dużą pewnością założyć, że w najbliższych miesiącach zobaczymy wysyp podobnych luk w innych popularnych systemach klasy Enterprise. Jedyną skuteczną strategią obronną jest założenie, że każda aplikacja może być podatna, i obudowanie jej warstwami zabezpieczeń, które uniemożliwią dostęp do niej komukolwiek bez wyraźnej autoryzacji. Era "zaufanej sieci wewnętrznej" definitywnie dobiegła końca, a tegoroczne ataki na SMA są tego najbardziej brutalnym dowodem.