Tin tặc khai thác CVE-2025-32975 (CVSS 10.0) để chiếm quyền điều khiển các hệ thống Quest KACE SMA chưa được vá lỗi

Theo Arctic Wolf, các tác nhân đe dọa bị nghi ngờ đang khai thác một lỗ hổng bảo mật nghiêm trọng nhất ảnh hưởng đến Quest KACE Systems Management Appliance (SMA). Công ty an ninh mạng cho biết họ đã quan sát thấy hoạt động độc hại bắt đầu vào tuần ngày 9 tháng 3 năm 2026, trong môi trường khách hàng, phù hợp với việc khai thác CVE-2025-32975 trên các hệ thống SMA chưa được vá lỗi và tiếp xúc với internet. Hiện vẫn chưa rõ mục tiêu cuối cùng của cuộc tấn công này là gì.

Minh họa lỗ hổng CVE-2025-32975 trên Quest KACE SMA — Hình ảnh minh họa một hệ thống Quest KACE SMA

Theo Arctic Wolf, các tác nhân đe dọa bị nghi ngờ đang khai thác một lỗ hổng bảo mật nghiêm trọng nhất ảnh hưởng đến Quest KACE Systems Management Appliance (SMA).

Công ty an ninh mạng cho biết họ đã quan sát thấy hoạt động độc hại bắt đầu vào tuần ngày 9 tháng 3 năm 2026, trong môi trường khách hàng, phù hợp với việc khai thác CVE-2025-32975 trên các hệ thống SMA chưa được vá lỗi và tiếp xúc với internet. Hiện tại, chưa rõ mục tiêu cuối cùng của cuộc tấn công này là gì.

CVE-2025-32975 (điểm CVSS: 10.0) là một lỗ hổng authentication bypass cho phép kẻ tấn công mạo danh người dùng hợp pháp mà không cần thông tin đăng nhập hợp lệ. Việc khai thác thành công lỗ hổng này có thể tạo điều kiện cho việc chiếm quyền kiểm soát hoàn toàn các tài khoản quản trị. Vấn đề này đã được Quest vá lỗi vào tháng 5 năm 2025.

Trong hoạt động độc hại được Arctic Wolf phát hiện, các tác nhân đe dọa được cho là đã vũ khí hóa lỗ hổng để chiếm quyền kiểm soát các tài khoản quản trị và thực thi các lệnh từ xa để thả các payload được mã hóa Base64 từ một máy chủ bên ngoài (216.126.225[.]156) thông qua lệnh curl.

Các kẻ tấn công không xác định sau đó đã tạo thêm các tài khoản quản trị thông qua "runkbot.exe," một tiến trình nền liên quan đến SMA Agent được sử dụng để chạy script và quản lý cài đặt. Các sửa đổi Windows Registry thông qua một PowerShell script cũng được phát hiện, có thể nhằm mục đích duy trì sự tồn tại (persistence) hoặc thay đổi cấu hình hệ thống.

Các hành động khác được thực hiện bởi các tác nhân đe dọa bao gồm:

Thực hiện thu thập thông tin đăng nhập bằng cách sử dụng Mimikatz.
Thực hiện khám phá và trinh sát bằng cách liệt kê người dùng đã đăng nhập và các tài khoản quản trị viên, đồng thời chạy các lệnh "net time" và "net group".
Thu thập quyền truy cập remote desktop protocol (RDP) vào cơ sở hạ tầng sao lưu (Veeam, Veritas) và các domain controllers.

Để chống lại mối đe dọa này, các quản trị viên được khuyến nghị áp dụng các bản cập nhật mới nhất và tránh để các phiên bản SMA tiếp xúc với internet. Vấn đề này đã được khắc phục trong các phiên bản 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) và 14.1.101 (Patch 4).