CVE-2025-32975 (CVSS 10.0) permet à des attaquants non authentifiés de prendre le contrôle total de Quest KACE SMA via un bypass SSO. Des exploitations actives confirmées en mars 2026.
En bref
- CVE-2025-32975 (CVSS 10.0) permet à des attaquants non authentifiés de prendre le contrôle total de Quest KACE SMA via un contournement d'authentification SSO.
- Les secteurs de l'éducation et de l'entreprise sont activement ciblés depuis mars 2026, avec des post-exploitations incluant Mimikatz et des comptes admin frauduleux.
- Migrer immédiatement vers KACE SMA v12.1 ou supérieure et isoler toute instance exposée sur Internet dans l'attente du déploiement du correctif.
Un bypass SSO transformé en prise de contrôle totale du parc IT
Quest KACE Systems Management Appliance (SMA), la plateforme de gestion IT déployée dans des milliers d'entreprises et d'établissements d'enseignement à travers le monde, est actuellement la cible de campagnes d'exploitation actives visant la vulnérabilité critique CVE-2025-32975, notée CVSS 10.0, la sévérité maximale. La faille réside dans un mécanisme de validation défaillant de l'authentification SSO (Single Sign-On) : un attaquant non authentifié peut se faire passer pour n'importe quel utilisateur, y compris un administrateur système, sans posséder le moindre identifiant valide. Une fois ce premier accès obtenu, la chaîne d'attaque documentée par les chercheurs d'Arctic Wolf dans des environnements clients réellement compromis révèle une exploitation particulièrement sophistiquée : les acteurs malveillants s'appuient sur les fonctionnalités natives de KACE SMA pour exécuter des commandes arbitraires sur les systèmes managés, créent des comptes administrateurs frauduleux pour assurer leur persistance à long terme, et déploient des outils de collecte de credentials comme Mimikatz en vue d'un mouvement latéral ciblant d'autres systèmes critiques de l'organisation. La plateforme KACE SMA étant architecturalement conçue pour administrer l'intégralité des terminaux d'une organisation — de la gestion des correctifs au déploiement de logiciels en passant par l'inventaire des actifs — sa compromission équivaut en pratique à remettre les clés de l'ensemble du parc informatique géré aux attaquants. Le secteur de l'éducation a été formellement identifié parmi les verticales affectées, mais la distribution réelle des victimes semble nettement plus large selon les premiers éléments disponibles.
Quest avait publié un correctif initial en mai 2025 pour les versions 11.0 à 12.0, puis un patch d'urgence complémentaire le 18 mars 2026 suite à la montée en puissance des exploitations confirmées. Malgré la disponibilité des correctifs depuis près d'un an pour certaines versions, une proportion significative d'organisations n'avait toujours pas mis à jour ses instances lors de la confirmation de l'exploitation active. Cette situation reflète une problématique structurelle bien connue des RSSI : les appliances réseau, contrairement aux serveurs applicatifs classiques, nécessitent des fenêtres de maintenance planifiées avec impact potentiel sur la continuité de service, ce qui retarde systématiquement leur patching. SOCRadar a par ailleurs publié une analyse technique détaillée du mécanisme de bypass SSO, facilitant le développement d'exploits supplémentaires par des acteurs moins expérimentés.
Pourquoi les plateformes d'IT management sont des cibles critiques de premier rang
Les solutions de gestion IT comme Quest KACE SMA occupent une position architecturale privilégiée dans les systèmes d'information d'entreprise : accès privilégié à tous les endpoints, capacité à pousser scripts et configurations à grande échelle, inventaires exhaustifs des actifs logiciels et matériels. Pour un attaquant, compromettre ce type de plateforme revient à obtenir les clés de toute l'infrastructure en un seul mouvement initial, ce qui en fait des cibles prioritaires pour les groupes ransomware et les acteurs APT les plus sophistiqués. CVE-2025-32975 s'inscrit dans une tendance documentée d'attaques ciblant les appliances d'administration à haute valeur stratégique : les failles critiques récentes sur VMware Aria Operations (CVE-2026-22719) et sur Cisco Firepower Management Center (CVE-2026-20131) ont toutes deux conduit à des compromissions sévères en production selon des schémas d'exploitation quasi identiques. Les équipes d'Arctic Wolf soulignent que la sophistication des post-exploitations observées — déploiement de Mimikatz, persistance multi-vecteurs, reconnaissance réseau structurée — suggère des attaquants expérimentés, potentiellement affiliés à des groupes ransomware établis disposant de ressources importantes. Pour les équipes sécurité, CVE-2025-32975 doit être traité avec le même niveau d'urgence que les vulnérabilités CISA KEV actives comme CVE-2025-68613 sur n8n ou les récentes failles sur Oracle Identity Manager (CVE-2026-21992). Le vecteur sans authentification, combiné à la criticité des actifs gérés, crée une combinaison particulièrement dangereuse pour toute organisation qui n'a pas encore appliqué le correctif disponible.
Ce qu'il faut retenir
- CVE-2025-32975 (CVSS 10.0) permet un contournement complet de l'authentification SSO dans Quest KACE SMA, sans identifiant requis.
- L'exploitation active est confirmée depuis début mars 2026 avec des chaînes d'attaque sophistiquées incluant Mimikatz, persistance et mouvement latéral.
- Mettre à jour vers KACE SMA v12.1+ immédiatement, isoler les instances exposées sur Internet, et auditer les comptes administrateurs et journaux de commandes depuis janvier 2026.
Comment détecter une compromission de Quest KACE SMA via CVE-2025-32975 ?
Recherchez dans les journaux KACE des connexions SSO anormales sans activité préalable de fédération d'identité, des créations soudaines de comptes administrateurs non planifiées, l'exécution de scripts non référencés sur des machines gérées, et la présence d'outils comme Mimikatz ou PsExec dans les artefacts de déploiement. Arctic Wolf recommande d'examiner les modifications apportées aux règles de déploiement et aux inventaires depuis janvier 2026. Toute anomalie doit être traitée comme une compromission avérée jusqu'à preuve du contraire, compte tenu de l'accès massif que confère KACE SMA sur l'ensemble du parc. En cas de doute, isolez l'appliance du réseau et faites appel à une équipe de réponse à incident avant toute remédiation.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire