Arctic Wolf beobachtete in mehreren Kundennetzwerken Aktivitäten, die auf die Ausnutzung der kritischen Authentifizierungslücke CVE-2025-32975 hindeuten. Betroffen sind ungepatchte Instanzen der Quest KACE Systems Management Appliance (SMA), die über das Internet erreichbar sind. Die Appliance dient der zentralen Endgeräteverwaltung und übernimmt Aufgaben wie Inventarisierung, Softwareverteilung, Patching und Überwachung.

Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, sich als legitime Nutzer auszugeben. Daraus kann sich eine vollständige administrative Übernahme der Appliance ergeben. Nach Darstellung von Arctic Wolf verschafften sich die Angreifer über die Lücke zunächst einen ersten Zugang zu einem System und erlangten danach administrative Kontrolle. Quest hatte CVE-2025-32975 im Mai 2025 mit einem Patch geschlossen.

Für drei weitere, ebenfalls im Mai 2025 behobene Schwachstellen – CVE-2025-32976, CVE-2025-32977 und CVE-2025-32978 – fand das Sicherheitsunternehmen keine Hinweise auf eine Beteiligung an den beobachteten Vorfällen.

Die von Arctic Wolf erfassten Aktivitäten begannen den Angaben zufolge vermutlich Anfang März 2026. Wer hinter den Angriffen steckt und welches Ziel verfolgt wird, ist unklar. “Zum gegenwärtigen Zeitpunkt können wir keine weiteren Details zu den Angreifern oder ihrer Motivation nennen. Einige der betroffenen Kunden gehörten zwar dem Bildungssektor in unterschiedlichen Regionen an, doch reichen unsere Daten nicht aus, um festzustellen, ob dieser Sektor gezielt angegriffen wurde”, teilte Arctic Wolf Labs gegenüber SecurityWeek mit.

Da die Ausnutzung eine über das Internet erreichbare Appliance betraf, sei sie wahrscheinlich opportunistisch erfolgt, ergänzte das Unternehmen. Andere Berichte über eine mögliche Ausnutzung dieser Sicherheitslücke liegen bislang nicht vor.

Organisationen, die weiterhin veraltete Versionen der Quest KACE SMA einsetzen, werden aufgefordert, die verfügbaren Patches umgehend einzuspielen, um Eindringversuche zu verhindern.