CVE-2025-32975 Dieksploitasi, Sistem Quest KACE SMA Rentan Overtake Admin
Para hacker kini diketahui mengeksploitasi kerentanan kritis CVE-2025-32975 yang berdampak pada sistem Quest KACE Systems Management Appliance (SMA) yang belum diperbarui. Kerentanan ini memiliki skor CVSS sempurna 10.0, menandakan tingkat risiko yang sangat tinggi.
Menurut laporan perusahaan keamanan siber Arctic Wolf, aktivitas berbahaya mulai terdeteksi pada minggu kedua Maret 2026 di lingkungan pelanggan yang menggunakan sistem SMA yang terpapar internet tanpa patch terbaru. Hingga kini, motif akhir dari serangan ini belum diketahui secara pasti.
Detail Kerentanan CVE-2025-32975 pada Quest KACE SMA
CVE-2025-32975 merupakan celah bypass autentikasi yang memungkinkan penyerang untuk menyamar sebagai pengguna sah tanpa perlu kredensial yang valid. Jika dieksploitasi, kerentanan ini memungkinkan pengambilalihan penuh akun administrator.
Quest telah merilis patch resmi yang memperbaiki masalah ini sejak Mei 2025, namun masih banyak sistem yang belum melakukan pembaruan sehingga rentan diserang.
Modus Operandi Penyerang
Arctic Wolf mengungkapkan, para peretas memanfaatkan celah ini untuk:
- Mengambil alih akun administrator secara lengkap.
- Menjalankan perintah jarak jauh guna mengunduh dan mengeksekusi payload berformat Base64 dari server eksternal 216.126.225[.]156 menggunakan perintah
curl. - Membuat akun administrator baru melalui proses
runkbot.exe, sebuah proses latar terkait agen SMA yang digunakan untuk menjalankan skrip dan mengelola instalasi. - Mengubah registri Windows dengan skrip PowerShell untuk memastikan keberlangsungan akses atau mengubah konfigurasi sistem.
Selain itu, aktivitas berbahaya lain yang terdeteksi meliputi:
- Pencurian kredensial menggunakan alat Mimikatz.
- Penemuan dan pengintaian jaringan dengan cara enumerasi pengguna yang sedang login, akun administrator, serta menjalankan perintah
net timedannet group. - Mendapatkan akses Remote Desktop Protocol (RDP) ke infrastruktur cadangan seperti Veeam dan Veritas, serta ke domain controller.
Langkah Pencegahan dan Rekomendasi
Untuk mencegah serangan lebih lanjut, para administrator disarankan untuk segera melakukan pembaruan sistem ke versi terbaru yang sudah menambal kerentanan ini. Versi yang sudah diperbarui meliputi:
- 13.0.385
- 13.1.81
- 13.2.183
- 14.0.341 (Patch 5)
- 14.1.101 (Patch 4)
Selain itu, sangat dianjurkan agar instansi tidak mengekspos sistem SMA langsung ke internet tanpa perlindungan yang memadai. Pemantauan aktivitas jaringan dan audit keamanan secara berkala juga penting untuk mendeteksi potensi penyusupan lebih dini.
Analisis Redaksi
Menurut pandangan redaksi, eksploitasi CVE-2025-32975 ini menegaskan betapa krusialnya mematuhi praktik keamanan siber, terutama dalam mengelola perangkat manajemen sistem yang berkaitan langsung dengan infrastruktur TI perusahaan. Kerentanan dengan skor 10.0 bukan hanya sekedar celah biasa, melainkan potensi bencana yang bisa membuka jalan bagi serangan lanjutan seperti ransomware atau pencurian data sensitif.
Serangan yang berhasil mengambil alih akun administrator berisiko menyebabkan domino effect, mulai dari manipulasi sistem, pencurian data, hingga gangguan operasional yang signifikan, khususnya bagi organisasi yang mengandalkan sistem otomasi dan pengelolaan TI seperti Quest KACE SMA.
Ke depan, publik dan organisasi harus mewaspadai tren serangan yang semakin cepat memanfaatkan celah keamanan lama yang belum ditambal. Implementasi patch dan pembaruan rutin harus menjadi prioritas utama, disertai dengan proteksi berlapis dan pelatihan keamanan bagi staf TI agar dapat merespon ancaman dengan cepat.
Terus ikuti perkembangan dan rekomendasi keamanan terbaru agar sistem Anda tidak menjadi korban berikutnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
