ពួក Hacker ទាញយកប្រយោជន៍ពី CVE-2025-32975 (CVSS 10.0) ដើម្បីប្លន់យកប្រព័ន្ធ Quest ដែលមិនទាន់បានជួសជុល KACE SMA

យោងតាម ​​Arctic Wolf បានឲ្យដឹងថា ជនល្មើសគំរាមកំហែងត្រូវបានគេសង្ស័យថាកំពុងកេងប្រវ័ញ្ចលើចំណុចខ្សោយសុវត្ថិភាពធ្ងន់ធ្ងរបំផុតដែលប៉ះពាល់ដល់ Quest KACE Systems Management Appliance (SMA)។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបាននិយាយថា ខ្លួនបានសង្កេតឃើញសកម្មភាពព្យាបាទចាប់ផ្តើមសប្តាហ៍ថ្ងៃទី 9 ខែមីនា ឆ្នាំ 2026 នៅក្នុងបរិយាកាសអតិថិជនដែលស្របនឹងការកេងប្រវ័ញ្ច CVE-2025-32975 លើប្រព័ន្ធ SMA ដែលមិនទាន់បានជួសជុល និងត្រូវបានប៉ះពាល់នឹងអ៊ីនធឺណិត។ បច្ចុប្បន្នមិនទាន់ដឹងថាគោលដៅចុងក្រោយនៃការវាយប្រហារនេះជាអ្វីនោះទេ។

CVE-2025-32975 (ពិន្ទុ CVSS: 10.0) សំដៅទៅលើចំណុចខ្សោយនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើត្រាប់តាមអ្នកប្រើប្រាស់ស្របច្បាប់ដោយគ្មានលិខិតសម្គាល់ត្រឹមត្រូវ។ ការកេងប្រវ័ញ្ចដោយជោគជ័យនៃចំណុចខ្សោយនេះអាចជួយសម្រួលដល់ការកាន់កាប់គណនីរដ្ឋបាលទាំងស្រុង។ បញ្ហានេះត្រូវបានជួសជុលដោយ Quest ក្នុងខែឧសភា ឆ្នាំ២០២៥។

នៅក្នុងសកម្មភាពព្យាបាទដែលរកឃើញដោយ Arctic Wolf គេជឿថាអ្នកគំរាមកំហែងបានប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីដណ្តើមការគ្រប់គ្រងគណនីរដ្ឋបាល និងប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយដើម្បីទម្លាក់បន្ទុកដែលបានអ៊ិនកូដ Base64 ពីម៉ាស៊ីនមេខាងក្រៅ (216.126.225[.]156) តាមរយៈពាក្យបញ្ជា curl។

បន្ទាប់មក អ្នកវាយប្រហារដែលមិនស្គាល់បានបន្តបង្កើតគណនីរដ្ឋបាលបន្ថែមតាមរយៈ "runkbot.exe" ដែលជាដំណើរការផ្ទៃខាងក្រោយដែលភ្ជាប់ជាមួយភ្នាក់ងារ SMA ដែលត្រូវបានប្រើដើម្បីដំណើរការស្គ្រីប និងគ្រប់គ្រងការដំឡើង។ ក៏ត្រូវបានរកឃើញផងដែរនូវការកែប្រែ Windows Registry តាមរយៈស្គ្រីប PowerShell សម្រាប់ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធដែលអាចកើតមាន ឬការផ្លាស់ប្តូរ។

សកម្មភាពផ្សេងទៀតដែលធ្វើឡើងដោយអ្នកគំរាមកំហែងត្រូវបានរាយខាងក្រោម -

-ធ្វើការប្រមូលផលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដោយប្រើ Mimikatz។

-អនុវត្តការរកឃើញ និងការឈ្លបយកការណ៍ដោយរាប់បញ្ចូលអ្នកប្រើប្រាស់ដែលបានចូល និងគណនីអ្នកគ្រប់គ្រង និងដំណើរការពាក្យបញ្ជា "net time" និង "net group"។

-ទទួលបានការចូលប្រើពិធីការផ្ទៃតុពីចម្ងាយ (RDP) ទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធបម្រុងទុក (Veeam, Veritas) និងឧបករណ៍បញ្ជាដែន។

ដើម្បីទប់ទល់នឹងការគំរាមកំហែងនេះ អ្នកគ្រប់គ្រងត្រូវបានណែនាំឱ្យអនុវត្តការអាប់ដេតចុងក្រោយបំផុត និងជៀសវាងការបង្ហាញឧទាហរណ៍ SMA ទៅកាន់អ៊ីនធឺណិត។ បញ្ហានេះត្រូវបានដោះស្រាយនៅក្នុងកំណែ 13.0.385, 13.1.81, 13.2.183, 14.0.341 (បំណះទី 5) និង 14.1.101 (បំណះទី 4)។