Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ја злоупотребуваат CVE-2025-32975 (CVSS 10.0) за преземање контрола врз неодпакувани Quest KACE SMA системи

Објавено: 23.03.2026

Се сомнева дека напаѓачи ја злоупотребуваат критичната безбедносна ранливост што го зафаќа Quest KACE Systems Management Appliance (SMA), според компанијата Arctic Wolf.

Компанијата за сајбер-безбедност соопшти дека забележала злонамерна активност почнувајќи од неделата на 9 март 2026 година во клиентски околини, што е во согласност со експлоатација на CVE-2025-32975 кај непачирани SMA системи изложени на интернет. Во моментов не е познато која е крајната цел на нападот.

CVE-2025-32975 (CVSS оценка: 10.0) претставува ранливост за заобиколување на автентикација, која им овозможува на напаѓачите да се претставуваат како легитимни корисници без валидни креденцијали. Успешната злоупотреба може да доведе до целосно преземање на администраторски сметки. Проблемот бил закрпен од Quest во мај 2025 година.

Во забележаната злонамерна активност, се верува дека напаѓачите ја искористиле ранливоста за да преземат контрола врз администраторски сметки и да извршуваат далечински команди со цел да симнат Base64-кодирани payload-и од надворешен сервер (216.126.225[.]156) преку curl команда. Потоа, напаѓачите креирале дополнителни администраторски сметки преку „runkbot.exe“, позадински процес поврзан со SMA Agent, кој се користи за извршување скрипти и управување со инсталации. Исто така, биле детектирани измени во Windows Registry преку PowerShell скрипта, најверојатно за перзистентност или промени во конфигурацијата на системот.

Други активности на напаѓачите вклучуваат:

  • Крадење креденцијали со помош на Mimikatz
  • Извидување и собирање информации (enumeration) на логирани корисници и администраторски сметки, како и извршување на „net time“ и „net group“ команди
  • Добивање пристап преку Remote Desktop Protocol (RDP) до backup инфраструктура (Veeam, Veritas) и domain контролери

За заштита од заканата, администраторите се советуваат:

  • Да ги применат најновите ажурирања (patch-ови)
  • Да не ги изложуваат SMA системите директно на интернет

Проблемот е решен во следните верзии: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) и 14.1.101 (Patch 4).

Извори:

  • The Hacker News – Hackers Exploit CVE-2025-32975 (CVSS 10.0) to Hijack Unpatched Quest KACE SMA Systems The Hacker News