技術 約4分で読めます

Quest KACE SMA に CVSS 10.0 の認証バイパス、3月初旬から実攻撃を確認

Security CVE KACE Authentication Bypass Mimikatz

Quest KACE SMAとは

Quest KACE SMA(Systems Management Appliance)は、企業のIT部門が社内のPC・サーバーを一括管理するためのアプライアンス製品だ。

  • ソフトウェアの配布・アップデート管理
  • OSパッチの一括適用
  • ハードウェア・ソフトウェアのインベントリ収集
  • ヘルプデスク・チケット管理
  • セキュリティポリシーの適用

社内の全端末を管理する司令塔だ。数百〜数千台規模のエンドポイントを管理している企業が多く、このアプライアンスが乗っ取られると管理下の全端末にスクリプトを配布したり、認証情報を一括で抜いたりできてしまう。KACE SMAのWeb管理画面をインターネットに公開しているケースもあり、今回の攻撃ではまさにそこが狙われた。

脆弱性の概要

CVE-2025-32975はKACE SMAの認証機構に存在する認証バイパス(Authentication Bypass)の脆弱性だ。攻撃者は有効な認証情報なしに正規ユーザーになりすまし、管理者アカウントを完全に乗っ取ることができる。

CVSS(Common Vulnerability Scoring System、脆弱性の深刻度を0.0〜10.0で数値化する標準スコアリング方式)は10.0。理論上の最高値であり、認証不要・ネットワーク経由で完全な制御を奪われる状態を意味する。端末管理の中枢を認証なしで乗っ取れるのだから、この最高スコアは妥当だ。

Questはこの脆弱性を2025年5月に修正済みとしているが、パッチを適用していないシステムが2026年3月初旬から実際の攻撃にさらされている。Arctic Wolf社が2026年3月9日の週から顧客環境で実際の攻撃活動を確認したと報告した。

確認されている攻撃チェーン

Arctic Wolfが観測した攻撃の流れは以下の通りだ。

graph TD
    A[外部C2サーバー<br/>216.126.225.156] -->|curl経由で<br/>Base64ペイロード投下| B[未パッチKACE SMA]
    B -->|runkbot.exe実行| C[追加管理アカウント作成]
    C -->|Mimikatz実行| D[認証情報窃取]
    D -->|PowerShellスクリプト| E[レジストリ改変による永続化]
    E -->|バックドア存続| F[継続的アクセス確保]

初期侵入

認証バイパスを悪用してKACE SMAの管理画面にアクセスし、端末管理の中枢を掌握する。

ペイロード投下

外部C2サーバー(攻撃者の指令サーバー)216.126.225[.]156からBase64エンコード済みのペイロード(悪意あるコード本体)をcurlコマンドで取得・実行する。

横展開の準備

“runkbot.exe” というKACE SMAの正規リモート実行ツールを悪用し、追加の管理アカウントを作成する。KACE SMAはもともと管理下の端末にスクリプトやソフトウェアを配布する機能を持つため、runkbot.exeはその一部だ。攻撃者はこの正規機能を転用することで、元の侵入経路が閉鎖されても管理者権限を保持できる。

認証情報窃取

Mimikatz(Windowsのメモリからパスワードハッシュや認証トークンを抽出する攻撃ツール)を実行し、認証情報を盗み出す。KACE SMAは多数の端末の認証情報を扱うため、ここで窃取した情報を使って管理下の他システムへ横展開(ネットワーク内の別マシンへの侵入拡大)できる。

永続化

PowerShellスクリプトでWindowsレジストリを改変し、再起動後もバックドアが存続する状態を作る。これにより攻撃者は長期間にわたって気づかれにくい形でアクセスを維持する。

影響バージョンと修正情報

Questが公開したアドバイザリによると、以下のバージョンが影響を受ける。

ブランチ修正済みバージョン
14.1.x14.1.101(パッチ4以降)
14.0.x14.0.341(パッチ5以降)
13.2.x13.2.183以降
13.1.x13.1.81以降
13.0.x13.0.385以降

推奨対策

上記修正バージョンへのアップデートが最優先だ。パッチは2025年5月に公開済みのため、未適用環境は直ちに確認が必要だ。

KACE SMAのWeb管理画面をインターネットに直接公開しているケースが今回の攻撃対象になった。端末管理アプライアンスの管理画面は社内ネットワークからのみアクセス可能にし、外部からはVPNや踏み台サーバー(ジャンプサーバー)経由に限定すべきだ。ShodanやCensysで自組織のKACE SMAが外部公開されていないか確認しておきたい。

すでに侵害を受けている可能性がある環境では、3月9日以降のKACE SMA管理者ログに不審なアカウント作成、216.126.225[.]156との通信、runkbot.exeの不審な実行記録がないか確認する。Mimikatz実行の痕跡としては、Windows Security Logのイベント4624(ログオン成功)の異常なパターンや、lsass.exe(認証情報を保持するプロセス)への不審なアクセスが参考になる。KACE SMAが管理する端末数が多い場合、横展開の被害範囲も比例して広がるため、KACE SMA自体だけでなく管理下端末の異常ログオンも確認する。