Jetzt patchen! Attacken auf Quest KACE Systems Management Appliance

Angreifer nutzen derzeit eine „kritische“ Sicherheitslücke im Endpoint-Managementsystem Quest KACE Systems Management Appliance (SMA) aus und kompromittieren öffentlich erreichbare Instanzen. Sicherheitsupdates stehen seit Mai vergangenen Jahres zum Download bereit. Offensichtlich haben diese aber noch nicht alle SMA-Admins installiert.

Kaputte Authentifizierung

Auf die Attacken weisen Sicherheitsforscher von Arctic Wolf in einem Beitrag hin. Die „kritische“ Schwachstelle (CVE-2025-32975) mit dem höchstmöglichen CVSS Score 10 von 10 betrifft einer Warnmeldung des Softwareherstellers Quest zufolge die SSO-Authentifizierung.

Aufgrund von nicht näher beschriebenen Fehlern können Angreifer die Anmeldung umgehen und als beliebiger legitimer Nutzer auf Systeme zugreifen. Im Anschluss sollen sie Instanzen mit Adminrechten komplett übernehmen können.

Systeme schützen

Wie Attacken konkret ablaufen und was Angreifer mit kompromittierten Systemen anstellen, ist bislang unklar. Unbekannt ist derzeit auch, in welchem Umfang die Angriffe ablaufen. Admins sollten sicherstellen, dass eine der abgesicherten SMA-Versionen installiert ist. Die Patches schließen noch weitere Lücken (CVE-2025-32976, CVE-2025-32977, CVE-2025-32978), die den Sicherheitsforschern zufolge bei den aktuell laufenden Angriffen aber keine Rolle spielen.

• 13.0.385
• 13.1.81
• 13.2.183
• 14.0.341 (Patch 5)
• 14.1.101 (Patch 4)

Neben der Installation der Sicherheitsupdates sollten Admins das Endpoint-Managementsystem nicht öffentlich erreichbar machen. Wenn das unabdingbar ist, muss der Zugang zwingend über etwa eine VPN-Verbindung gesichert stattfinden. Das gilt nicht nur für SMA, sondern generell.

(des)