SchwachstellenHackerangriffeCyberkriminalität

Kritische Quest-KACE-Lücke: Unbefugte greifen auf Verwaltungssysteme zu

Kritische Quest-KACE-Lücke: Unbefugte greifen auf Verwaltungssysteme zu
Zusammenfassung

Eine kritische Sicherheitslücke in der Quest KACE Systems Management Appliance (CVE-2025-32975) wird möglicherweise bereits aktiv ausgenutzt. Das von Arctic Wolf entdeckte Sicherheitsloch ermöglicht es Angreifern, sich ohne Authentifizierung als legitime Benutzer auszugeben und damit vollständige Administratorrechte über das Management-System zu erlangen. Das primär von Unternehmen im Bildungssektor eingesetzte Tool verwaltet zentral Endgeräte, Software-Verteilung und System-Updates. Obwohl Quest die Schwachstelle bereits im Mai 2025 patcht, wurden Exploitierungsversuche ab März 2026 dokumentiert. Deutsche Bildungseinrichtungen, Universitäten und größere Unternehmen, die ungepatchtere KACE-Versionen betreiben und diese ins Internet exponieren, sind unmittelbar gefährdet. Ein erfolgreicher Angriff würde Cyberkriminellen vollständige Kontrolle über die IT-Infrastruktur verschaffen und damit Zugriff auf sensible Daten sowie Möglichkeiten zur Malware-Verbreitung bieten. Da offenbar opportunistische Angriffe auf frei erreichbare Systeme stattfinden, ist sofortiges Handeln erforderlich. Alle betroffenen deutschen Behörden und Organisationen sollten ihre KACE-Installationen umgehend auf aktualisierte Versionen upgraden, um sich vor potenzieller Kompromittierung zu schützen.

Das Sicherheitsforschungsteam Arctic Wolf Labs hat in mehreren Kundenumgebungen Anzeichen für die aktive Ausnutzung der Schwachstelle CVE-2025-32975 gefunden. Die kritische Authentifizierungslücke betrifft die Quest KACE Systems Management Appliance, ein weit verbreitetes On-Premises-Tool zur zentralen Verwaltung von Endgeräten, das für Aufgaben wie Asset-Inventarisierung, Softwareverteilung, Patch-Management und Systemüberwachung eingesetzt wird.

Die Angriffe begannen Berichten zufolge im frühen März 2026. Angreifer nutzten CVE-2025-32975 zunächst für die initiale Kompromittierung eines Systems, erhielten anschließend aber auch vollständige Administratorrechte über die KACE-Appliance. Dies eröffnet weitreichende Möglichkeiten für Cyberkriminelle: Sie könnten Malware verteilen, Daten abgreifen oder das gesamte System sabotieren.

“Zum gegenwärtigen Zeitpunkt können wir keine weiteren Details zum Angreifer oder dessen Motivation geben”, teilte Arctic Wolf Labs mit SecurityWeek mit. “Obwohl einige betroffene Kunden aus dem Bildungssektor stammten, haben wir nicht genug Daten, um festzustellen, ob dieser Sektor gezielt angegriffen wurde.” Die Forscher gehen davon aus, dass es sich um opportunistische Angriffe handelt, da die Appliances im Internet erreichbar waren.

Während Arctic Wolf keine Hinweise auf die Exploitation von drei weiteren verwandten Schwachstellen (CVE-2025-32976, CVE-2025-32977 und CVE-2025-32978) fand, die ebenfalls im Mai 2025 gepatcht wurden, ist unklar, wer hinter den aktuellen Angriffen steckt oder welche konkrete Motivation die Angreifer verfolgen.

Für Organisationen weltweit, einschließlich deutscher Behörden und Unternehmen, ist die Situation ernst: Alle Systeme, die noch nicht auf die aktuelle Version aktualisiert wurden, gelten als gefährdet. Sicherheitsexperten raten zu sofortigem Handeln. Die Patches sind seit Mai 2025 verfügbar. Organisationen sollten ihre KACE-Infrastruktur auditieren und überprüfen, ob unautorisierten Zugriff stattgefunden hat.

Das Incident-Beispiel verdeutlicht ein grundlegendes Sicherheitsrisiko: Interne Verwaltungssysteme, die eigentlich hinter Firmennetzwerken geschützt sein sollten, sind häufig aus praktischen Gründen mit dem Internet verbunden. Dies schafft große Angriffsflächen für Cyberkriminelle, besonders wenn Patches nicht zeitnah eingespielt werden.

Ähnliche Artikel