Die Authentifizierungslücke CVE-2025-32975 ermöglicht es Angreifern, das Sicherheitssystem der KACE SMA zu umgehen und sich als Administrator anzumelden – ohne ein Passwort zu benötigen. Die beobachteten Angriffe zeigen ein koordiniertes Vorgehen: Nach erfolgreicher Authentifizierungsumgehung nutzten die Hacker ihre Administratorrechte, um ferngesteuerte Befehle auszuführen. Sie luden Base64-verschlüsselte Schadprogramme von einem externen Server (216.126.225[.]156) über das curl-Befehlszeilentool herunter.
Besonders alarmierend ist die zweite Angriffsstufe: Die Cyberkriminellen erstellten zusätzliche Administratorkonten mittels “runkbot.exe” – ein Background-Prozess des SMA-Agenten, der normalerweise für Script-Verwaltung und Installationen vorgesehen ist. Parallel dazu führten sie Modifikationen in der Windows-Registry durch PowerShell-Skripte durch, vermutlich um ihre Präsenz im System zu sichern und Konfigurationen zu ändern.
Arctic Wolf konnte bislang nicht vollständig klären, welches Endziel die Angreifer verfolgen. Die Aktivitäten deuten jedoch auf eine professionelle Cyberkriminellen-Gruppe hin, die gezielt nach wertvollen Daten oder Backdoor-Zugängen sucht. KACE SMA-Systeme verwalten zentral die IT-Infrastruktur von Unternehmen – Kontrolle über diese Systeme bedeutet potenziell Zugriff auf das gesamte Netzwerk.
Quest hatte Patches bereits seit Mai 2025 bereitgestellt. Anfällig sind Versionen vor 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) und 14.1.101 (Patch 4). Die Sicherheitsexperten raten dringend zum sofortigen Einspielen der Updates und zur Vermeidung direkter Internetverbindungen für SMA-Instanzen. Firmen, die ihre KACE-Systeme noch nicht aktualisiert haben, laufen massive Risiken: Unbefugte könnten Daten stehlen, Systeme lahmlegen oder als Sprungbrett für Attacken auf das gesamte Netzwerk nutzen.