Arctic Wolf emite alerta sobre ataques direcionados ao Quest KACE Systems Management Appliance (SMA), após identificar atividades suspeitas em redes de diversos clientes. A empresa de segurança observou tentativas de exploração da vulnerabilidade CVE-2025-32975, uma falha crítica de bypass de autenticação em instâncias do Quest KACE SMA expostas diretamente à internet e ainda sem correção aplicada.
Essa vulnerabilidade, corrigida pela Quest em maio de 2025, permite que invasores não autenticados se passem por usuários legítimos do sistema. Na prática, o erro de validação de credenciais abre caminho para que o agente malicioso obtenha privilégios elevados e, em alguns cenários, assuma o controle administrativo completo do appliance. A partir daí, o atacante pode alterar configurações, distribuir scripts maliciosos, movimentar-se lateralmente na rede e usar o dispositivo como ponto de apoio para outras ações.
De acordo com análises da Arctic Wolf, os operadores de ameaças exploram a falha primeiro para garantir acesso inicial ao ambiente. Em seguida, eles escalam privilégios e consolidam o controle administrativo do Quest KACE SMA comprometido. Essa combinação de acesso inicial e domínio administrativo torna o incidente particularmente grave, pois o KACE é frequentemente usado para gerenciar endpoints, aplicar atualizações e executar automações em larga escala dentro das organizações.
As atividades maliciosas começaram, segundo os registros da empresa, no início de março de 2026. No entanto, o padrão de exploração sugere que os atacantes tinham conhecimento prévio da vulnerabilidade e aguardavam encontrar sistemas expostos e desatualizados para iniciar a campanha. A falta de atualização tempestiva e a exposição direta à internet criaram o cenário ideal para o sucesso desses ataques.
O laboratório de pesquisa da Arctic Wolf informou que, até o momento, não há elementos suficientes para atribuir os ataques a um grupo específico ou para identificar uma motivação clara, como espionagem, furto de dados ou extorsão financeira. Em alguns casos analisados, as vítimas pertenciam ao setor educacional, em diferentes regiões geográficas. Apesar disso, a empresa ressalta que o número e a diversidade dos alvos não permitem concluir que instituições de ensino tenham sido especificamente selecionadas como foco principal da campanha.
Um ponto importante destacado pela Arctic Wolf é que não foram encontradas evidências de exploração de outras três vulnerabilidades relacionadas no Quest KACE SMA, catalogadas como CVE-2025-32976, CVE-2025-32977 e CVE-2025-32978. Todas elas também foram corrigidas em maio de 2025. Até o momento, os incidentes investigados parecem estar limitados à exploração da CVE-2025-32975, o que não reduz a gravidade da situação, mas ajuda a delimitar o vetor de ataque observado.
Para organizações que ainda operam versões desatualizadas do Quest KACE Systems Management Appliance, a recomendação é direta e urgente: aplicar imediatamente os patches disponibilizados pelo fabricante. A ausência de correção em sistemas voltados à gestão de endpoints representa uma porta de entrada extremamente crítica, já que, por definição, esses appliances têm elevada visibilidade e controle sobre o parque de dispositivos corporativos.
Além da aplicação do patch, especialistas sugerem uma revisão completa da superfície de exposição do Quest KACE SMA. Sempre que possível, o appliance não deve ficar acessível diretamente pela internet. Em vez disso, o acesso remoto deve ser realizado por meio de VPNs seguras, autenticação multifator e segmentação de rede adequada. A restrição de IPs de origem e o uso de listas de controle de acesso também ajudam a reduzir o risco de exploração por atacantes externos.
Outro ponto essencial é a análise de logs e telemetria do Quest KACE SMA e de outros sistemas vizinhos. Organizações que mantinham appliances vulneráveis expostos devem investigar sinais de atividades anômalas, como logins inesperados, criação de novas contas de administrador, alterações não autorizadas em políticas de distribuição de software ou execuções de scripts em horários incomuns. Mesmo após a aplicação do patch, é necessário verificar se não houve comprometimento prévio.
Em termos de boas práticas, a falha no Quest KACE reforça a importância de uma gestão estruturada de vulnerabilidades. Isso inclui inventário atualizado de ativos, monitoramento contínuo de boletins de segurança, priorização de correções com base em criticidade e exposição, além de processos bem definidos para testar e aplicar patches em tempo hábil. Ferramentas de varredura interna e externa podem auxiliar a identificar rapidamente sistemas que ainda estejam em versões inseguras.
Organizações também devem considerar a implementação de controles de segurança em camadas, de forma que a exploração de uma vulnerabilidade em um único componente não resulte automaticamente na tomada de controle de todo o ambiente. Monitoramento de comportamento, detecção de anomalias, segmentação de rede, princípios de privilégio mínimo e autenticação forte são elementos que ajudam a limitar o alcance de um ataque bem-sucedido.
A situação ainda chama atenção para um problema recorrente: a confiança excessiva em appliances de gestão e automação, que muitas vezes concentram grande poder operacional e acesso privilegiado. Quando tais dispositivos são comprometidos, o impacto tende a ser multiplicado, permitindo que o invasor use exatamente as mesmas ferramentas de administração da equipe de TI para distribuir malware, desativar agentes de segurança ou abrir portas adicionais na rede.
Para CISOs e equipes de segurança, o alerta da Arctic Wolf funciona como um lembrete de que a simples existência de um patch não resolve o risco por si só; é necessária uma estratégia consistente de atualização, alinhada à criticidade do ativo. Sistemas que controlam endpoints, identidades, backups e automações de infraestrutura precisam estar no topo da lista de prioridades, já que representam alvos altamente atrativos para operadores de ameaças.
Por fim, a recomendação geral para as empresas é combinar resposta imediata – com correção urgente e investigação de possíveis compromissos – com ações estruturais de médio prazo. Isso envolve revisar políticas de exposição de serviços, fortalecer autenticação, aprimorar monitoramento e garantir que processos de governança de TI e segurança caminhem juntos. A exploração da CVE-2025-32975 no Quest KACE SMA mostra, mais uma vez, como uma única falha crítica em um componente central pode abrir caminho para ataques complexos e de alto impacto, especialmente em ambientes que ainda não tratam gestão de vulnerabilidades como prioridade estratégica.