En bref

  • CVE-2025-32975 (CVSS 10.0) : bypass d''authentification Single Sign-On dans Quest KACE Systems Management Appliance (SMA), permettant la prise de contrôle administrative complète sans identifiants.
  • Versions corrigées par Quest : KACE SMA 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 et 14.1.101 Patch 4. Toutes les instances antérieures exposées sur Internet sont vulnérables.
  • Ajoutée au catalogue KEV de la CISA le 20 avril 2026, avec exploitation active confirmée depuis mars 2026. Patcher immédiatement et rechercher des IoC post-compromission.

Quest a publié un avis de sécurité confirmant une faille d''authentification de niveau maximal, référencée CVE-2025-32975 et notée CVSS 10.0, dans son appliance de gestion de parc KACE Systems Management Appliance (SMA). La vulnérabilité permet à un attaquant distant, sans privilèges ni interaction utilisateur, de contourner complètement le mécanisme Single Sign-On (SSO) et d''usurper l''identité de n''importe quel compte, y compris les super-administrateurs. La CISA a ajouté la faille à son catalogue des Known Exploited Vulnerabilities (KEV) le 20 avril 2026, après la confirmation d''une exploitation active en conditions réelles depuis la semaine du 9 mars 2026. Quest KACE SMA est largement déployée dans les environnements d''entreprise pour piloter l''inventaire du parc informatique, le déploiement logiciel, l''application des correctifs et l''exécution de scripts à distance sur des milliers d''endpoints. Un contournement d''authentification sur ce type de console transforme toute instance exposée en vecteur d''intrusion privilégiée, avec capacité de mouvement latéral quasi-immédiate sur l''ensemble du parc géré.

Les faits

La faille se situe dans le composant de traitement SSO de l''appliance. Selon l''analyse publiée par les chercheurs de watchTowr et relayée par les bulletins Quest et SocRadar, le filtre de validation des assertions d''authentification ne vérifie pas correctement les signatures cryptographiques et les attributs d''identité retournés par le fournisseur d''identité. Un attaquant peut ainsi forger une requête SSO qui présente au portail KACE une identité arbitraire, et obtenir une session interactive au privilège administratif sans jamais posséder de credentials valides. La faiblesse est classée CWE-287 (Improper Authentication) et le vecteur CVSS retenu est AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, reflétant une exploitabilité réseau sans prérequis et un impact maximal sur la confidentialité, l''intégrité et la disponibilité.

Quest a corrigé la vulnérabilité en mai 2025 avec les versions 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 et 14.1.101 Patch 4, publiées dans le cadre de son Quest KACE SMA Security Advisory 2025-06. Les chercheurs ont toutefois observé un cycle long d''adoption du correctif, avec un grand nombre d''appliances toujours exposées en 2026, motivant l''ajout au KEV et l''échéance de remédiation fixée par la CISA au 11 mai 2026 pour les agences fédérales américaines (BOD 22-01).

Impact et exposition

Toute organisation exploitant une KACE SMA accessible depuis Internet ou depuis un segment réseau joignable par un utilisateur non authentifié est exposée. Le rapport post-incident publié par Sophos X-Ops décrit un mode opératoire cohérent : après prise de contrôle d''un compte KACE administratif, les attaquants utilisent les fonctionnalités légitimes de la plateforme pour exécuter des scripts arbitraires sur les postes administrés, déposer des outils de credential harvesting comme Mimikatz, créer des comptes d''administration persistants et procéder à la reconnaissance du domaine Active Directory. KACE SMA étant historiquement un outil de confiance pour les équipes IT, les exécutions malveillantes passent fréquemment sous le radar des détections EDR. Les instances hébergées en DMZ, exposées pour administration à distance, représentent la surface d''attaque prioritaire ; les déploiements purement internes restent vulnérables en cas de pivot depuis un poste compromis.

Recommandations immédiates

  • Mettre à niveau immédiatement vers une version corrigée : KACE SMA 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 ou 14.1.101 Patch 4 au minimum — advisory Quest KACE SMA Security 2025-06.
  • Si la mise à niveau ne peut être déployée sous 24 heures, isoler l''appliance de l''Internet public via filtrage réseau et restreindre l''accès à la console d''administration à un bastion ou un VPN d''administration dédié.
  • Rechercher des indicateurs de compromission : comptes administrateurs KACE créés hors processus, scripts de déploiement inconnus, exécutions KScript inhabituelles, tâches planifiées non référencées, connexions sortantes vers des infrastructures de commande et contrôle.
  • Auditer les logs d''authentification SSO sur la période du 9 mars 2026 à la date de patch et corréler avec les connexions Active Directory privilégiées pour détecter un usage post-compromission.
  • Réinitialiser les credentials de service utilisés par KACE (compte de jonction de domaine, comptes SMB de déploiement) qui pourraient avoir été extraits de la base de l''appliance.

⚠️ Urgence

Exploitation active confirmée depuis mars 2026 et inscription KEV CISA le 20 avril 2026. Un contournement d''authentification CVSS 10.0 sur un outil de gestion de parc offre un contrôle administratif sur l''ensemble des endpoints gérés. Toute instance KACE SMA non patchée doit être considérée comme potentiellement compromise et faire l''objet d''une investigation, pas uniquement d''un correctif.

Comment savoir si je suis vulnérable ?

Connectez-vous à la console KACE SMA et consultez la page « Paramètres → À propos ». Si la version affichée est antérieure à 13.0.385, 13.1.81, 13.2.183, 14.0.341 Patch 5 ou 14.1.101 Patch 4, l''instance est vulnérable. Vérifiez également si le portail SSO est exposé en accès direct depuis Internet via un scan Shodan ou Censys sur votre plage IP publique avec le header « KACE » ou le chemin « /common/index.php ».

Le SSO est-il obligatoire pour être exposé à la faille ?

Oui, l''exploitation cible spécifiquement le flux d''assertion SSO. Les appliances KACE SMA configurées en authentification locale uniquement, sans fédération d''identité activée, ne sont pas vulnérables à CVE-2025-32975. En revanche, la configuration SSO reste activable dynamiquement, et un attaquant ayant un accès réseau peut déclencher le chemin vulnérable si le composant est présent dans le code — le patch reste donc impératif.

Les équipes sécurité qui ont déjà traité des contournements d''authentification similaires retrouveront les mêmes schémas défensifs que ceux détaillés dans notre analyse du bypass root CVE-2026-24061 dans GNU telnetd. La problématique des appliances de gestion exposées sur Internet recoupe aussi celle décrite dans le dossier Cisco SD-WAN Manager et les trois failles ajoutées au KEV. Pour les lecteurs qui souhaitent approfondir les mécanismes de contournement SSO et leurs conséquences, notre article sur le contournement SSH non autorisé sur UniFi Play détaille une chaîne comparable. Enfin, les IoC post-compromission décrits dans le bypass sandbox Thymeleaf vers SSTI peuvent inspirer la démarche d''investigation forensique à mener sur une KACE SMA potentiellement compromise.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit