Các tác nhân đe dọa được cho là đang khai thác lỗ hổng nghiêm trọng CVE-2025-32975 trên Quest KACE Systems Management Appliance (SMA), theo cảnh báo từ Arctic Wolf. Đây là lỗ hổng có mức độ nghiêm trọng tối đa, với điểm CVSS 10.0.
Arctic Wolf cho biết đã quan sát thấy hoạt động độc hại bắt đầu từ tuần lễ ngày 9 tháng 3 năm 2026 trong môi trường khách hàng, với các dấu hiệu phù hợp với việc khai thác CVE-2025-32975 trên những hệ thống SMA chưa được vá và đang bị phơi bày ra Internet. Hiện tại, mục tiêu cuối cùng của chiến dịch tấn công vẫn chưa được xác định.
CVE-2025-32975 là một lỗ hổng authentication bypass, cho phép kẻ tấn công mạo danh người dùng hợp lệ mà không cần thông tin đăng nhập. Việc khai thác thành công có thể dẫn tới chiếm quyền hoàn toàn các tài khoản quản trị. Quest đã phát hành bản vá cho vấn đề này từ tháng 5 năm 2025.
Theo báo cáo, các tác nhân tấn công được cho là đã lợi dụng lỗ hổng để kiểm soát tài khoản quản trị và thực thi lệnh từ xa nhằm tải xuống payload được mã hóa Base64 từ máy chủ bên ngoài thông qua lệnh curl, sử dụng địa chỉ IP 216.126.225[.]156.
Sau đó, kẻ tấn công tiếp tục tạo thêm các tài khoản quản trị thông qua runkbot.exe, một tiến trình nền liên quan đến SMA Agent, vốn được dùng để chạy script và quản lý cài đặt. Ngoài ra, Arctic Wolf cũng phát hiện các thay đổi trong Windows Registry thông qua PowerShell, có thể nhằm phục vụ persistence hoặc thay đổi cấu hình hệ thống.
Các hành vi khác được ghi nhận gồm:
- Thu thập thông tin xác thực bằng Mimikatz
- Do thám hệ thống bằng cách liệt kê người dùng đang đăng nhập và tài khoản quản trị, đồng thời chạy các lệnh như net time và net group
- Cố gắng truy cập RDP vào hạ tầng sao lưu như Veeam, Veritas và các domain controller
Khuyến cáo từ chuyên gia VNCS Global
Trước diễn biến phức tạp của chiến dịch khai thác CVE-2025-32975, chuyên gia của VNCS Global nhận định đây là một rủi ro đặc biệt nghiêm trọng và khuyến nghị các đơn vị vận hành Quest KACE SMA ưu tiên xử lý ngay các biện pháp phòng vệ sau:
Vá lỗi và Thu hẹp bề mặt tấn công: hệ thống cần được cập nhật lên các phiên bản đã vá càng sớm càng tốt, đặc biệt với những máy đang chạy các bản cũ và có thể bị truy cập từ Internet. Việc để SMA lộ trực tiếp ra ngoài là rất nguy hiểm, vì chỉ cần một điểm xác thực bị vượt qua là kẻ tấn công có thể nhanh chóng chiếm quyền quản trị.
Nguồn: The Hacker News
