Arctic Wolf最近拉响警报:从3月9日那周开始,已经在多家客户的真实环境中看到Quest KACE Systems Management Appliance(简称SMA)被黑客疯狂攻击。核心问题指向CVE-2025-32975,这个漏洞CVSS直接打满10.0分,属于最致命那一档。
简单说,这是个认证绕过漏洞。攻击者根本不需要任何有效凭证,就能直接冒充合法用户。Quest官方早在2025年5月就把补丁放出来了,可惜很多暴露在公网的SMA压根没打补丁,直接成了活靶子。
Arctic Wolf观察到的攻击链条已经很清晰。黑客先用这个漏洞拿下管理员权限,然后立刻通过curl命令从外部服务器216.126.225.156拉取Base64编码的payload。接着利用runkbot.exe这个SMA自带的后台进程,新建了额外的管理员账户。整个过程干净利落,几乎没留下明显痕迹。
更狠的是,黑客没停手。后续动作包括用PowerShell改Windows注册表,很可能是为了持久化驻留。Mimikatz被拖出来疯狂捞凭证,枚举登录用户、管理员组,跑net time、net group这些命令摸底。得手后直接冲向备份系统(Veeam、Veritas)和域控,用RDP方式横向移动。整个链路走下来,基本就是教科书级别的域渗透。
Quest给出的修复版本很明确:13.0.385、13.1.81、13.2.183、14.0.341(Patch 5)、14.1.101(Patch 4)。没打这些补丁的设备,等于把大门敞开请人进来。Arctic Wolf反复强调,最有效的防御就是立刻更新,同时把SMA从公网撤下来。暴露在互联网上的管理设备,本来就是高危资产。
这事儿放到加密行业看,其实挺扎心的。币圈很多团队、交易所、钱包项目都依赖类似的系统管理工具做批量部署、补丁分发、远程维护。一旦KACE SMA被拿下,黑客就能反向控制大量内网资产。想象一下,攻击者拿到域控权限后,直接改管理员密码、植入后门,甚至锁定备份系统,那后果不是丢几个比特币,而是整个基础设施被端。
当前市场情绪本来就低迷,BTC现报$67,688(24h -2.17%),ETH现报$2,031(24h -3.74%),主流币普遍绿油油。安全事件再爆一个,机构资金撤退只会更快。过去几年我们见过太多案例:因为一个没及时更新的边缘设备,核心热钱包被拖走,最后血本无归。
Quest KACE SMA在企业IT环境里用得不少,尤其北美中大型组织。但公网暴露+延迟打补丁的组合拳,等于给黑客送快递。攻击者现在连目标都不挑了,只要你没修,照样扫。Arctic Wolf没公布具体攻击团伙归属,只能说手法偏向熟练的勒索团伙或APT前期侦察。
管理员们醒醒吧。补丁不是可选项,是保命符。把管理界面关到内网,或者至少上强认证+IP白名单。别等钱包被清空、节点被劫持,再后悔没早点动手指升级。
这波攻击再次证明:CVSS 10.0不是摆设,真有人敢冲。别再让历史重演了。