Beveiligingsonderzoekers van Arctic Wolf melden dat kwaadwillenden actief gebruikmaken van een kritieke kwetsbaarheid in Quest KACE Systems Management Appliance (SMA). De kwetsbaarheid, geregistreerd als CVE-2025-32975 met een maximale CVSS-score van 10.0, maakt het mogelijk om authenticatie te omzeilen en zo beheerdersaccounts over te nemen op onbeveiligde systemen die direct aan het internet zijn blootgesteld.

De kwetsbaarheid werd door Quest in mei 2025 gepatcht, maar systemen zonder deze updates lopen nog steeds risico. Arctic Wolf constateerde vanaf de week van 9 maart 2026 kwaadaardige activiteiten die wijzen op het misbruiken van deze kwetsbaarheid. Aanvallers gebruiken de fout om via het commando curl Base64-gecodeerde payloads van een externe server te downloaden en uit te voeren. Vervolgens worden extra beheerdersaccounts aangemaakt met behulp van het proces runkbot.exe, dat onderdeel is van de SMA Agent en bedoeld is voor het uitvoeren van scripts en beheer van installaties.

Daarnaast werden wijzigingen in het Windows-register vastgesteld via PowerShell-scripts, vermoedelijk om persistentie te waarborgen of systeemconfiguraties aan te passen. De aanvallers voeren ook credential harvesting uit met Mimikatz en doen uitgebreid onderzoek in het netwerk door ingelogde gebruikers en beheerdersaccounts te inventariseren en commando’s zoals net time en net group uit te voeren. Verder is vastgesteld dat zij via Remote Desktop Protocol (RDP) toegang proberen te verkrijgen tot back-upinfrastructuur zoals Veeam en Veritas, evenals tot domeincontrollers.

Om deze dreiging tegen te gaan, wordt beheerders dringend geadviseerd om de nieuwste patches te installeren en te voorkomen dat SMA-systemen direct aan het internet worden blootgesteld. De kwetsbaarheid is verholpen in de versies 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) en 14.1.101 (Patch 4).