Полный доступ и кража данных. Рассказываем, как хакеры взламывают компании через забытое обновление Quest
Взломщики благодарят сисадминов за лень и открытые серверы.
Злоумышленники начали атаковать системы управления компьютерами, которые администраторы по каким-то причинам забыли обновить. Речь идёт о популярном решении Quest KACE Systems Management Appliance, и проблема позволяет захватить управление без пароля.
Компания Arctic Wolf зафиксировала подозрительную активность в сетях клиентов. Следы указывают на использование уязвимости CVE-2025-32975 в установках Quest KACE SMA, доступных из интернета и не получивших обновления. Исправление вышло ещё в мае 2025 года, но часть систем так и осталась без исправлений.
Уязвимость относится к критическим и позволяет обойти проверку подлинности. Ошибка в механизме единого входа даёт возможность выдать себя за легального пользователя и получить полный административный доступ. Фактически злоумышленник сразу становится администратором системы.
Хотя публичного кода для эксплуатации CVE-2025-32975 пока не появилось и сообщений о массовых атаках не было, в зафиксированных инцидентах сценарий выглядит довольно прямолинейным. После получения доступа злоумышленники запускали команды через встроенные механизмы KACE, загружали полезную нагрузку с удалённого сервера и настраивали канал управления.
Дальше атакующие закреплялись в системе. Они создавали новые учётные записи с правами администратора, запускали скрытые сценарии PowerShell и меняли параметры системы через реестр. Для кражи учётных данных применяли Mimikatz, иногда маскируя утилиту под безобидные файлы.
Параллельно злоумышленники изучали инфраструктуру. Они собирали информацию о пользователях, администраторах и контроллерах домена, после чего перемещались по сети. В нескольких случаях удалось получить доступ к серверам резервного копирования и контроллерам домена через удалённый рабочий стол.
Другие уязвимости, исправленные вместе с CVE-2025-32975, в атаках не использовались.
Специалисты советуют срочно обновить Quest KACE SMA до актуальных версий и убрать такие системы из прямого доступа в интернет. Для удалённой работы лучше использовать защищённые каналы, например через виртуальную частную сеть или межсетевой экран.