Hackers Exploit Quest KACE SMA Flaw to Harvest Credentials
2026/03/23 gbhackers — Quest KACE Systems Management Appliance (SMA) を標的とする現在進行形の攻撃が、セキュリティ研究者たちにより確認/報告されている。2026年3月の第二週以降において、認証バイパス脆弱性 CVE-2025-32975 を悪用する攻撃者が、企業ネットワークへの侵入と機密認証情報の収集を行い、重要インフラへのラテラル・ムーブメントを開始している。
Quest KACE SMA の脆弱性
Quest KACE SMA は、ソフトウェア配布やエンドポイント監視を一元管理する、管理向けに設計されたオンプレミス型ソリューションである。
脆弱性 CVE-2025-32975 は、このアプライアンスの Single Sign-On (SSO) 認証処理メカニズムにおける深刻な欠陥に起因する。この脆弱性を悪用する攻撃者は、有効な認証情報を必要とせずに認証プロトコルを回避し、正規ユーザーになりすますことが可能となる。その結果として、アプライアンスの管理権限が完全に掌握されてしまう。2025年5月の時点で、Quest はパッチを提供しているが、インターネットに公開された状態でパッチ未適用の環境は、現在も侵害リスクが極めて高い状態にある。
Arctic Wolf の研究者たちによると、SSO バイパスにより初期アクセスを取得した攻撃者は、迅速に環境内で足場を確立している。KACE のネイティブ機能である KPluginRunProcess を使用してリモート・コマンドを実行し、Base64 エンコードされたペイロードを用いて検知回避を図っているという。
さらに、”curl” コマンドを悪用し、外部の C2 サーバ (IP : 216.126.225.156) から追加の悪意のファイルをダウンロードする動作が確認されている。永続化を試行する攻撃者は、正規プロセス “runkbot.exe” を悪用して、不正な管理者アカウントを生成する。
ネットワーク支配を強化するために、攻撃者はローカル/ドメイン管理者グループの双方に不正ユーザーを追加する。また、Enable-UpdateServices.ps1/taskband.ps1 などの PowerShell スクリプトを展開し、レジストリを変更することで、再起動後もバックドア・アクセスを維持する。
こうして足場を確立した攻撃者は、認証情報の収集および内部探索へと移行する。攻撃者は Mimikatz を “asd.exe” などに偽装して実行し、メモリから平文の認証情報を取得する。その後に、ネイティブ・コマンドを悪用してローカル環境やドメイン構造を列挙し、ネットワーク全体のマッピングを行う。
取得した認証情報とネットワーク情報を基に、攻撃者はラテラル・ムーブメントを実行する。特に、Remote Desktop Protocol (RDP) を悪用し、ドメイン・コントローラ/Veeam/Veritas を実行するバックアップ・サーバなどの、重要インフラに不正アクセスするインシデントが確認されている。
緩和策とバージョンアップ
管理者にとって必要なことは、KACE SMA の修正バージョンへと直ちにアップグレードし、この脆弱性の悪用を防ぐことだ。13.0/13.1/13.2 系列は、それぞれ 13.0.385/13.1.81/13.2.183 以降へ更新する必要がある。14.0/14.1 系列は、それぞれバージョン 14.0.341 (Patch 5)/バージョン 14.1.101 (Patch 4) を適用する必要がある。
さらに、KACE SMA インターフェイスをインターネットから遮断し、リモート管理アクセスを VPN またはエンタープライズ・ファイアウォール経由に制限することで、外部からの攻撃対象領域を最小化することが求められる。
この攻撃の原因は、Quest KACE SMA の SSO 認証処理メカニズムに存在する、脆弱性 CVE-2025-32975 の悪用にあります。この欠陥により、本来であれば厳重に守られるべき認証プロセスがバイパスされ、正規のユーザーになりすました攻撃者が、管理権限を握ることが可能になっています。2025年5月の時点で、すでにパッチが公開されていますが、更新が遅れている環境が狙われています。認証というシステムの入り口に不備があると、その後の多層的な防御も突破されやすくなるため、この種の脆弱性には注意が必要です。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.