A CVE-2025-32975, corrigida em maio de 2025, permite bypass de autenticação em appliances SMA não atualizados e expostos à internet, com atividade observada envolvendo comandos remotos, criação de administradores e alterações no Registro do Windows.
| Componente | Quest KACE Systems Management Appliance, incluindo instâncias SMA sem atualização expostas diretamente à internet |
| Vetor | Bypass de autenticação pela CVE-2025-32975, permitindo representação de usuários legítimos sem credenciais válidas |
| Impacto | Tomada de contas administrativas, execução remota de comandos, criação de novas contas administrativas e possível persistência por alterações no Registro do Windows |
| Prioridade | Aplicar versões corrigidas e retirar appliances SMA da exposição direta à internet |
| Versões | Correções disponíveis em 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 e 14.1.101 Patch 4 |
| IoC | Servidor externo observado como origem de payloads codificados em Base64: 216.126.225[.]156 |
A CVE-2025-32975 é uma vulnerabilidade de bypass de autenticação no Quest KACE Systems Management Appliance com pontuação CVSS 10.0. A falha permite que um invasor se faça passar por usuários legítimos sem apresentar credenciais válidas. Em um appliance SMA acessível pela internet e sem as correções de maio de 2025, esse comportamento cria uma rota direta para controle de contas administrativas, com impacto maior do que uma simples elevação local, porque o componente afetado é usado para gestão, automação e execução de tarefas em ambientes corporativos.
Atividade maliciosa compatível com a exploração dessa vulnerabilidade foi observada a partir da semana de 9 de março de 2026 em ambientes de clientes com instâncias SMA não corrigidas. O objetivo final dos operadores não foi confirmado no material analisado, portanto a análise deve se limitar aos efeitos técnicos documentados: controle administrativo, execução remota de comandos, transferência de payloads codificados em Base64 a partir de um servidor externo, criação de contas administrativas adicionais e alterações no Registro do Windows por script PowerShell. Esses sinais indicam abuso pós-exploração de um sistema de gerenciamento, mas não sustentam, por si só, afirmar vazamento de dados ou implantação de malware específico.
O ponto inicial é a exposição do appliance Quest KACE SMA à internet sem a versão corrigida. A falha de autenticação permite contornar a validação normal de identidade e assumir a perspectiva de um usuário legítimo. Quando o usuário representado tem privilégios administrativos, o resultado prático é a tomada da superfície de administração do SMA. Como o appliance possui funções de execução de scripts e gerenciamento de instalações, o comprometimento de sua camada administrativa pode ser usado para acionar rotinas com alcance operacional dentro do ambiente conectado ao sistema.
Na atividade observada, os operadores teriam usado a falha para controlar contas administrativas e executar comandos remotos. Em seguida, payloads codificados em Base64 foram obtidos de um servidor externo identificado como 216.126.225[.]156 por meio de uma ferramenta de transferência em linha de comando. O detalhe relevante para defesa não é a reprodução do comando, mas a combinação de execução remota no SMA, busca de conteúdo codificado e origem externa incomum. Esse padrão deve ser tratado como evidência de pós-exploração quando aparece em appliance de gerenciamento que normalmente deveria executar tarefas controladas, previsíveis e auditáveis.
Outro elemento técnico é o uso de runkbot.exe, processo em segundo plano associado ao SMA Agent e utilizado para executar scripts e gerenciar instalações. A atividade incluiu criação de contas administrativas adicionais por meio desse componente, o que amplia a persistência operacional do invasor dentro da própria camada de administração. Também foram detectadas modificações no Registro do Windows por PowerShell, descritas como possível persistência ou alteração de configuração do sistema. Como o contexto não confirma o propósito exato dessas chaves, a interpretação defensiva deve considerar tanto persistência quanto preparação de ambiente, sem classificar a ação como família de malware específica.
A fase de reconhecimento incluiu enumeração de usuários conectados e contas administrativas, além de consultas relacionadas a horário de rede e grupos. Também houve obtenção de acesso por RDP a infraestrutura de backup, incluindo Veeam e Veritas, e a controladores de domínio. Esse trecho eleva a gravidade operacional porque o abuso deixa de ficar restrito ao appliance e passa a tocar ativos que concentram recuperação, administração e identidade. Ainda assim, o escopo técnico confirmado é acesso e reconhecimento; qualquer afirmação sobre criptografia, exfiltração ou destruição de backups exigiria evidência adicional que não aparece no material analisado.
A superfície exposta é formada por instâncias Quest KACE SMA que permanecem sem atualização após a correção de maio de 2025, especialmente quando publicadas diretamente na internet. O risco é maior em ambientes nos quais o SMA tem permissões amplas para automação, inventário, instalação de software ou execução de scripts em endpoints e servidores. Mesmo que o appliance seja apenas um ponto de gerenciamento, sua posição de confiança pode permitir que uma conta administrativa comprometida influencie sistemas além da interface web inicial.
As versões corrigidas citadas são 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 e 14.1.101 Patch 4. Ambientes abaixo desses níveis devem ser tratados como candidatos a exposição se houver acesso externo, histórico de autenticações administrativas anômalas, tarefas de script não reconhecidas ou criação recente de contas com privilégio elevado. A avaliação não deve se limitar à presença da versão vulnerável; ela precisa incluir o caminho de rede até o appliance, a lista de administradores, integrações com domínio e qualquer conectividade com infraestrutura de backup ou controladores de domínio.
- Instâncias Quest KACE SMA não corrigidas e acessíveis pela internet.
- Contas administrativas do appliance, incluindo contas criadas recentemente ou fora do processo normal de gestão.
- Uso de
runkbot.exepara execução de scripts e criação de administradores adicionais. - Sistemas alcançáveis por RDP a partir do ambiente comprometido, especialmente Veeam, Veritas e controladores de domínio.
A investigação deve começar pela reconstrução de eventos administrativos no SMA desde a semana de 9 de março de 2026, ou antes, caso a organização tenha janela de retenção maior. O objetivo é identificar sessões administrativas sem origem esperada, criação ou alteração de usuários privilegiados, execução de tarefas remotas fora de janelas aprovadas e chamadas a componentes de automação que não correspondam a mudanças planejadas. A presença de payloads codificados em Base64 recuperados de endereço externo é um sinal de alta relevância, principalmente quando aparece junto de execução remota disparada pelo appliance.
No endpoint e em servidores Windows, a telemetria deve procurar alterações no Registro originadas por PowerShell em período compatível com atividade administrativa anômala. A análise precisa diferenciar automação legítima do SMA de ações de pós-exploração: horário incomum, usuário administrativo recém-criado, processo pai relacionado ao agente SMA e destino externo 216.126.225[.]156 fortalecem a hipótese de abuso. Logs de RDP devem ser correlacionados com acesso a servidores de backup e controladores de domínio, pois o contexto indica movimentação para ativos de alta sensibilidade operacional.
- Eventos de autenticação administrativa no SMA sem origem, horário ou conta compatíveis com a rotina do ambiente.
- Criação de contas administrativas adicionais após a possível janela de exploração.
- Execução de scripts pelo
runkbot.exeassociada a comandos remotos ou alterações não aprovadas. - Conexões ou tentativas de transferência envolvendo 216.126.225[.]156, sempre tratado como indicador defangado.
- Uso de PowerShell para modificar Registro do Windows em hosts administrados ou relacionados ao appliance.
- Sessões RDP direcionadas a Veeam, Veritas ou controladores de domínio após atividade suspeita no SMA.
A primeira ação defensiva é atualizar todas as instâncias Quest KACE SMA para uma versão corrigida: 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 ou 14.1.101 Patch 4. A correção deve ser acompanhada por remoção da exposição direta à internet, porque um appliance de gerenciamento não deve permanecer acessível publicamente sem controles adicionais. Quando o acesso remoto for necessário, a organização deve usar segmentação, autenticação forte, caminhos controlados e monitoramento explícito de sessões administrativas.
Após a atualização, a resposta não deve assumir que o risco terminou. Como a atividade observada envolve tomada de contas administrativas, criação de novos administradores e possíveis mudanças de persistência, é necessário revisar a integridade da configuração do SMA, remover contas desconhecidas, invalidar sessões e credenciais administrativas relevantes, auditar scripts e tarefas agendadas e verificar se houve acesso subsequente a backup ou domínio. A validação deve incluir comparação com inventário confiável de contas, revisão de logs do appliance e checagem de alterações no Registro em sistemas alcançados.
Em ambientes com sinais de exploração, a contenção deve isolar o appliance até que a investigação determine quais comandos foram executados e quais sistemas foram alcançados. Servidores de backup e controladores de domínio citados em trilhas de RDP precisam receber prioridade de análise, porque concentram funções críticas de recuperação e identidade. Sem evidência adicional, não se deve presumir destruição, vazamento ou criptografia, mas a organização deve confirmar a integridade das contas privilegiadas e a ausência de persistência configuracional antes de recolocar o SMA em operação normal.
- Atualizar o Quest KACE SMA para uma das versões corrigidas informadas pelo fornecedor.
- Remover exposição direta do SMA à internet e restringir acesso administrativo por controles de rede.
- Revisar e remover contas administrativas criadas fora do processo autorizado.
- Auditar tarefas de script, execuções por
runkbot.exee alterações recentes de configuração. - Correlacionar logs do SMA com PowerShell, Registro do Windows e sessões RDP em infraestrutura de backup e domínio.
- Tratar 216.126.225[.]156 como indicador de investigação e bloquear comunicações associadas conforme a política interna.
0 Comentários