تشير تقارير حديثة إلى وجود ثغرة أمنية حرجة في نظام إدارة الأجهزة Quest KACE Systems Management Appliance (SMA)، يُعتقد أنها تُستغل حاليًا من قبل جهات تهديد.
رصدت شركة Arctic Wolf للأمن السيبراني نشاطًا خبيثًا في بيئات العملاء يتوافق مع استغلال الثغرة CVE-2025-32975 على أنظمة SMA غير المحدثة والمعرضة للإنترنت، وذلك ابتداءً من الأسبوع الذي بدأ بـ 9 مارس 2026. لم تتضح بعد الأهداف النهائية لهذه الهجمات.
استغلال ثغرة Quest KACE يستدعي تحديثات عاجلة
تُعد الثغرة CVE-2025-32975، والتي تحمل درجة خطورة قصوى (CVSS 10.0)، مشكلة تتعلق بتجاوز المصادقة، مما يمنح المهاجمين القدرة على انتحال شخصية المستخدمين الشرعيين دون امتلاك بيانات الاعتماد الصحيحة. وبحسب التقييمات، فإن الاستغلال الناجح لهذه الثغرة يمكن أن يؤدي إلى الاستيلاء الكامل على الحسابات الإدارية. تجدر الإشارة إلى أن شركة Quest كانت قد أصدرت تحديثًا لمعالجة هذه المشكلة في مايو 2025.
في النشاط الخبيث الذي اكتشفته Arctic Wolf، يُعتقد أن الجهات المهاجمة قد استخدمت الثغرة للسيطرة على الحسابات الإدارية وتنفيذ أوامر عن بعد. وقد تضمنت هذه الأوامر تنزيل حمولات مشفرة بصيغة Base64 من خادم خارجي باستخدام أمر curl.
علاوة على ذلك، عمل المهاجمون على إنشاء حسابات إدارية إضافية عبر عملية خلفية تُعرف باسم “runkbot.exe”. هذه العملية مرتبطة بعميل SMA وتُستخدم لتشغيل البرامج النصية وإدارة عمليات التثبيت. كما تم رصد تعديلات على سجل ويندوز (Windows Registry) عبر برنامج نصي PowerShell، مما قد يشير إلى محاولات لضمان الاستمرارية أو إحداث تغييرات في تكوين النظام.
أنشطة إضافية للمهاجمين
بالإضافة إلى ذلك، شملت الإجراءات التي اتخذها المهاجمون:
جمع بيانات الاعتماد: استخدام أدوات مثل Mimikatz لسرقة معلومات تسجيل الدخول.
الاستطلاع واكتشاف الشبكة: إجراء عمليات لاستكشاف البيئة، مثل تعداد المستخدمين النشطين والحسابات الإدارية، وتشغيل أوامر مثل “net time” و “net group” لفهم هيكل الشبكة.
الوصول عن بعد: الحصول على وصول عبر بروتوكول سطح المكتب البعيد (RDP) إلى البنية التحتية للنسخ الاحتياطي (مثل Veeam و Veritas) ووحدات التحكم بالمجال (Domain Controllers).
للتعامل مع هذا التهديد، ينصح مسؤولو الأنظمة بتطبيق أحدث التحديثات المتاحة وتجنب ربط مثيلات SMA بالإنترنت مباشرة. وقد تم إصلاح هذه المشكلة في الإصدارات التالية: 13.0.385، 13.1.81، 13.2.183، 14.0.341 (التحديث 5)، و 14.1.101 (التحديث 4).