Arctic Wolf detecta campanha de ataque explorando falha crítica no Quest KACE
A fornecedora de segurança Arctic Wolf identificou uma nova onda de atividades maliciosas direcionadas ao Quest KACE Systems Management Appliance (SMA), explorando a vulnerabilidade crítica CVE-2025-32975. A falha, classificada como um bypass de autenticação, afeta instâncias do appliance expostas à internet e que ainda não receberam as correções disponibilizadas pelo fabricante.
Segundo a empresa, os ataques observados envolvem a exploração direta da vulnerabilidade para que invasores não autenticados consigam se passar por usuários legítimos do sistema. A partir desse ponto, os criminosos são capazes de escalar privilégios e assumir o controle administrativo completo do dispositivo, o que abre caminho para uma série de ações maliciosas, como movimentação lateral na rede, implantação de malwares, exfiltração de dados e manipulação de configurações críticas.
A Quest corrigiu a CVE-2025-32975 em maio de 2025, mas muitas organizações aparentemente ainda operam com versões desatualizadas do Quest KACE SMA, o que tem mantido a superfície de ataque aberta. Esse cenário é considerado especialmente preocupante porque o KACE é usado para gestão centralizada de endpoints, inventário de ativos, distribuição de softwares e aplicação de patches, tornando-o um alvo estratégico: quem controla o KACE, em potencial, controla toda a frota de dispositivos gerenciados.
De acordo com a Arctic Wolf, as atividades hostis parecem ter começado no início de março de 2026. A análise realizada pelo time de threat intelligence da companhia indica que os invasores primeiro usam a falha de bypass de autenticação para obter acesso inicial ao ambiente; em seguida, consolidam o domínio administrativo sobre o appliance, o que lhes permite executar comandos, alterar políticas e criar novos usuários ou credenciais de acesso.
Até o momento, não foi possível atribuir a campanha a um grupo específico nem definir com clareza o objetivo principal dos ataques. A Arctic Wolf Labs informou que não há evidências suficientes para determinar se se trata de um ator estatal, grupo de cibercrime focado em extorsão, ou agentes oportunistas explorando vulnerabilidades amplamente divulgadas. A motivação também permanece incerta, podendo variar desde espionagem corporativa até preparação de terreno para futuros ataques de ransomware.
Parte das vítimas identificadas atua no setor educacional, em diferentes regiões geográficas. No entanto, a empresa ressalta que o número de casos conhecidos ainda é limitado e não permite concluir que instituições de ensino sejam um alvo prioritário. A interpretação mais provável, por enquanto, é que os criminosos estejam vasculhando a internet em busca de instâncias do Quest KACE expostas e vulneráveis, independentemente do segmento de mercado.
Além da CVE-2025-32975, foram também divulgadas anteriormente três outras falhas relacionadas no Quest KACE, catalogadas como CVE-2025-32976, CVE-2025-32977 e CVE-2025-32978, todas igualmente corrigidas em maio de 2025. Apesar dessa relação, a Arctic Wolf afirma não ter encontrado qualquer indício de exploração dessas três vulnerabilidades nos incidentes investigados até agora. Os ataques analisados parecem concentrar-se exclusivamente no bypass de autenticação da CVE-2025-32975, provavelmente por sua facilidade de uso e impacto imediato.
Diante do cenário, organizações que utilizam o Quest KACE SMA foram orientadas a agir com a máxima urgência. A principal recomendação é aplicar imediatamente todos os patches e atualizações de segurança fornecidos pela Quest, garantindo que as instâncias do appliance estejam rodando versões corrigidas. Atrasos na aplicação de patches em soluções de gestão e infraestrutura costumam ser explorados por atacantes, que muitas vezes se apoiam em vulnerabilidades já conhecidas e com código de exploração amplamente disponível.
Além do patching, os especialistas sugerem revisar a forma como o Quest KACE está exposto à internet. Quando possível, é recomendado restringir o acesso externo por meio de VPN, segmentação de rede e controle de IPs autorizados. A redução da superfície de exposição diminui as chances de que scanners automatizados de atacantes identifiquem o serviço e tentem explorá-lo.
Outra orientação importante é monitorar atentamente os logs do Quest KACE SMA e de outros sistemas correlatos, em busca de sinais de comprometimento. Atividades suspeitas podem incluir criação de contas administrativas inesperadas, alterações não autorizadas em políticas de endpoint, execuções de scripts fora do padrão habitual ou aumento anômalo no volume de comandos remotos. Caso qualquer rastro de acesso indevido seja detectado, o ideal é acionar rapidamente a equipe de resposta a incidentes para contenção, erradicação e recuperação.
A exploração de vulnerabilidades em ferramentas de gestão de TI reforça um ponto crítico: o fato de muitos ambientes confiarem excessivamente em que soluções “core” da infraestrutura estão seguras por padrão. Porém, justamente por serem centrais, esses sistemas se tornam um alvo preferencial. Uma brecha em um appliance de gerenciamento pode ser mais devastadora do que em um único endpoint, já que o invasor ganha um “painel de controle” para toda a rede.
Nesse contexto, a importância de uma boa estratégia de backup também ganha destaque. Sistemas em nuvem e modelos SaaS não oferecem, por definição, um backup abrangente de todos os dados e configurações empresariais. Em muitos casos, o provedor garante apenas a disponibilidade do serviço, mas não a recuperação granular diante de exclusões maliciosas, corrupção de dados ou comprometimento de contas administrativas. Ter backups independentes, testados regularmente e armazenados em ambientes isolados é essencial para reduzir o impacto de um ataque que explore vulnerabilidades como a CVE-2025-32975.
Para mitigar riscos de forma mais ampla, especialistas recomendam que as organizações combinem atualização de sistemas com uma abordagem de segurança em camadas. Isso inclui a adoção de princípios de Zero Trust, segmentação de rede, autenticação multifator reforçada para qualquer acesso administrativo e revisão periódica de privilégios. Controles de detecção e resposta, como soluções de EDR, NDR ou XDR, ajudam a identificar anomalias em tempo hábil, diminuindo a janela de atuação dos atacantes.
Também é fundamental incluir cenários de exploração de ferramentas de gestão, como o Quest KACE, em exercícios de simulação de incidentes e planos de continuidade de negócios. Muitas equipes de TI planejam respostas para falhas em servidores de aplicação ou bancos de dados, mas nem sempre consideram o impacto de perder o controle sobre a própria solução de gerenciamento que coordena atualizações, correções e inventário de ativos.
Por fim, o episódio enfatiza a necessidade de um processo maduro de gestão de vulnerabilidades. Não basta apenas contar com inventários de sistemas e listas de patches; é preciso priorizar correções com base em criticidade, exposição à internet, facilidade de exploração e valor estratégico do ativo. Soluções de gestão como o Quest KACE SMA costumam estar na camada mais sensível da infraestrutura e, portanto, devem figurar entre os primeiros itens da fila de atualização sempre que uma falha crítica for divulgada.