Actores maliciosos explotan vulnerabilidad crítica en Quest KACE SMA: CVE-2025-32975 bajo ataque activo

Introducción

Durante la semana del 9 de marzo de 2026, la firma de ciberseguridad Arctic Wolf identificó actividad maliciosa consistente con la explotación de una vulnerabilidad crítica en Quest KACE Systems Management Appliance (SMA). La vulnerabilidad en cuestión, catalogada como CVE-2025-32975, está siendo aprovechada por actores de amenazas para comprometer sistemas no parcheados expuestos a internet. Este incidente subraya la importancia de mantener una gestión de vulnerabilidades proactiva en el contexto de dispositivos de administración de sistemas críticos, especialmente ante la creciente sofisticación de los ataques dirigidos a infraestructuras de gestión TI.

Contexto del Incidente o Vulnerabilidad

Quest KACE SMA es una solución ampliamente utilizada en entornos corporativos para la administración centralizada de dispositivos y sistemas. Su exposición directa a internet, aunque común para facilitar la gestión remota, incrementa significativamente la superficie de ataque y el riesgo asociado a vulnerabilidades no parcheadas. La alerta de Arctic Wolf llega en un contexto en el que los actores de amenazas, tanto patrocinados por estados como grupos cibercriminales, han intensificado la explotación de appliances de gestión a través de vulnerabilidades de máxima severidad, especialmente aquellas divulgadas en los últimos 12 meses.

Detalles Técnicos

La vulnerabilidad CVE-2025-32975 ha sido clasificada con una puntuación CVSS de 10.0 (máxima severidad). Afecta a múltiples versiones de Quest KACE SMA, concretamente desde la 12.0 hasta la 13.1.3, permitiendo la ejecución remota de código arbitrario sin autenticación previa. El vector de ataque principal identificado es el acceso HTTP/HTTPS expuesto a internet, donde el atacante puede enviar peticiones especialmente diseñadas para explotar un fallo en la validación de entradas, derivando en la toma de control total del sistema comprometido.

Según los análisis de Arctic Wolf, se han observado TTPs (Tactics, Techniques and Procedures) alineadas con el marco MITRE ATT&CK, concretamente la técnica T1190 (Exploit Public-Facing Application) y T1059 (Command and Scripting Interpreter). Los Indicadores de Compromiso (IoC) detectados incluyen patrones anómalos de tráfico en los logs web, creación de cuentas administrativas no autorizadas y ejecución de scripts PowerShell y Bash para el despliegue de herramientas de post-explotación como Cobalt Strike y Metasploit. Arctic Wolf también ha identificado intentos de persistencia mediante la modificación de tareas programadas y la inyección de backdoors en el sistema operativo subyacente.

Impacto y Riesgos

El impacto potencial de la explotación de CVE-2025-32975 es crítico. Un atacante puede obtener privilegios administrativos en el appliance KACE SMA, permitiéndole acceder a credenciales, inventarios de activos, scripts de despliegue y, en última instancia, pivotar hacia otros segmentos de la red corporativa. El compromiso de un sistema de administración centralizado puede derivar en ataques de ransomware, exfiltración masiva de datos o interrupción completa de operaciones TI.

Según estimaciones de mercado, cerca del 18% de los appliances Quest KACE SMA desplegados globalmente permanecen expuestos a internet sin los últimos parches aplicados, lo que supone una amenaza para miles de organizaciones. Desde la perspectiva del cumplimiento normativo, un incidente de este tipo puede tener severas implicaciones respecto al RGPD (Reglamento General de Protección de Datos) y la directiva NIS2, con posibles sanciones económicas superiores a los 10 millones de euros en caso de filtración o interrupción sustancial de los servicios.

Medidas de Mitigación y Recomendaciones

Quest ha publicado actualizaciones de seguridad para corregir CVE-2025-32975, por lo que la aplicación inmediata de los parches es esencial. Se recomienda:

– Actualizar todos los appliances Quest KACE SMA a la versión 13.1.4 o superior.
– Restringir el acceso a la interfaz de administración, limitando el tráfico únicamente a direcciones IP de confianza mediante firewall o VPN.
– Monitorizar logs de acceso y ejecución en busca de patrones anómalos relacionados con los IoC conocidos.
– Implementar autenticación multifactor (MFA) y revisar periódicamente las cuentas administrativas.
– Realizar análisis forense en sistemas sospechosos y, de confirmarse la explotación, considerar la reimplantación completa del appliance.

Opinión de Expertos

Expertos independientes en ciberseguridad coinciden en señalar que la exposición de appliances de gestión a internet constituye uno de los mayores riesgos actuales, dada la velocidad con la que los actores de amenazas explotan vulnerabilidades de día cero o recientemente divulgadas. “La ventana entre la publicación de un CVE crítico y su explotación activa se ha reducido a días, e incluso horas, especialmente en dispositivos de administración ampliamente desplegados”, señala Javier Gómez, analista de amenazas en S2 Grupo.

Implicaciones para Empresas y Usuarios

Para los equipos de ciberseguridad, este incidente refuerza la necesidad de integrar la gestión de vulnerabilidades en los procesos de seguridad operativa y de automatizar la aplicación de parches en sistemas críticos. Las empresas deben evaluar el nivel de exposición de sus appliances y replantear la arquitectura de acceso remoto, priorizando el principio de mínimo privilegio y la segmentación de red. Los usuarios administradores deben estar alertas ante cualquier actividad sospechosa y reportar incidentes de inmediato.

Conclusiones

La explotación de CVE-2025-32975 en Quest KACE SMA confirma la tendencia al alza en el targeting de dispositivos de gestión TI por parte de actores maliciosos. La rápida aplicación de parches y la restricción del acceso a estos sistemas son medidas urgentes para mitigar el riesgo. La coordinación entre fabricantes, equipos de respuesta a incidentes y administradores de sistemas será determinante para reducir el impacto de futuras campañas de explotación.

(Fuente: feeds.feedburner.com)