Quest KACE CVE-2025-32975 Permet l'Exécution de Code à Distance
Quest Software a divulgué une vulnérabilité critique dans sa plateforme KACE Systems Management Appliance le 20 mars 2026, avertissant que des attaquants ont déjà exploité la faille dans des campagnes ciblées contre des organisations éducatives. La vulnérabilité, suivie sous le nom de CVE-2025-32975, affecte plusieurs versions de la plateforme KACE et permet l'exécution de code à distance sans authentification.
Les chercheurs en sécurité ont d'abord identifié une activité suspecte ciblant les déploiements KACE fin février 2026, avec des indicateurs initiaux pointant vers l'exploitation d'une vulnérabilité inconnue dans l'interface de gestion web. L'équipe de sécurité de Quest a confirmé la vulnérabilité après avoir analysé les schémas d'attaque et travaillé avec les clients affectés pour comprendre le mécanisme d'exploitation. L'enquête de la société a révélé que les attaquants exploitaient une validation d'entrée incorrecte dans la console web KACE pour exécuter des commandes arbitraires sur les systèmes sous-jacents.
La vulnérabilité provient d'une insuffisance de la désinfection des données fournies par l'utilisateur dans la fonctionnalité de téléchargement de fichiers de l'application web KACE. Les attaquants peuvent créer des requêtes malveillantes qui contournent les vérifications d'authentification et exécutent des commandes au niveau système avec des privilèges élevés. Ce défaut de conception permet une compromission complète des appareils KACE affectés, donnant aux attaquants un accès persistant aux points de terminaison gérés et aux données de configuration sensibles.
Quest Software a confirmé que la vulnérabilité affecte les versions 13.0 à 13.2.145 de KACE Systems Management Appliance, ainsi que les versions 8.0 à 8.2.157 de KACE Systems Deployment Appliance. La société a publié des correctifs d'urgence pour toutes les versions affectées le 20 mars 2026 et travaille directement avec les clients pour coordonner le déploiement rapide des mises à jour de sécurité.
Selon l'avis de Quest, la vulnérabilité nécessite un accès réseau à l'interface web KACE mais ne nécessite pas de justificatifs valides, ce qui la rend particulièrement dangereuse pour les organisations qui exposent leurs appareils KACE à Internet ou ont des réseaux internes compromis. Le catalogue des vulnérabilités exploitées connues de la CISA devrait ajouter CVE-2025-32975 suite à la confirmation de l'exploitation active.
Les Institutions Éducatives Font Face à une Exploitation Ciblée de KACE
La campagne d'exploitation active a principalement ciblé les institutions éducatives en Amérique du Nord et en Europe, Quest Software confirmant des attaques contre au moins douze districts scolaires et universités. Ces organisations déploient généralement des appareils KACE pour gérer de grandes flottes d'appareils étudiants et enseignants, ce qui en fait des cibles attrayantes pour les attaquants cherchant à établir un accès persistant aux réseaux éducatifs.
Les organisations utilisant les versions 13.0 à 13.2.145 de Quest KACE Systems Management Appliance sont vulnérables à l'exploitation, ainsi que celles utilisant les versions 8.0 à 8.2.157 de KACE Systems Deployment Appliance. La vulnérabilité affecte à la fois les déploiements KACE sur site et hébergés dans le cloud, bien que les instances cloud puissent avoir des protections réseau supplémentaires qui limitent l'exposition. Quest estime qu'environ 3 000 organisations dans le monde exploitent des appareils KACE vulnérables, les institutions éducatives représentant environ 40 % de la base d'utilisateurs affectée.
La vulnérabilité du secteur éducatif provient de schémas de déploiement courants qui augmentent le risque d'exposition. De nombreuses écoles configurent des appareils KACE avec des interfaces de gestion accessibles depuis Internet pour prendre en charge la gestion à distance des appareils et le déploiement de logiciels. De plus, les réseaux éducatifs ont souvent des relations de confiance complexes et des politiques d'accès partagées qui peuvent amplifier l'impact d'une compromission réussie de KACE. Les attaquants qui prennent le contrôle des appareils KACE peuvent potentiellement accéder aux points de terminaison gérés, voler des justificatifs et se déplacer latéralement à travers les systèmes connectés.
Au-delà des institutions éducatives, la vulnérabilité affecte également les environnements d'entreprise, les agences gouvernementales et les organisations de santé qui dépendent de KACE pour la gestion des points de terminaison. Le Microsoft Security Response Center a noté une activité de balayage accrue ciblant les appareils KACE, suggérant que les acteurs de la menace recherchent activement des systèmes vulnérables dans plusieurs secteurs.
Correction Immédiate Nécessaire pour les Systèmes Quest KACE
Quest Software a publié des mises à jour de sécurité qui traitent CVE-2025-32975 sur toutes les lignes de produits affectées. Les organisations doivent immédiatement mettre à jour KACE Systems Management Appliance à la version 13.2.146 ou ultérieure, et KACE Systems Deployment Appliance à la version 8.2.158 ou ultérieure. Les correctifs incluent des améliorations complètes de la validation des entrées et des vérifications d'authentification supplémentaires pour l'interface de gestion web.
Pour les organisations qui ne peuvent pas appliquer immédiatement les correctifs, Quest recommande de mettre en œuvre des protections au niveau du réseau pour limiter l'accès aux interfaces web KACE. Cela inclut de restreindre l'accès à la gestion à des plages IP de confiance, de mettre en œuvre des exigences VPN pour l'accès à distance et de déployer des pare-feu d'applications web avec des règles qui bloquent les modèles de requêtes malveillantes. Quest a publié des règles de pare-feu spécifiques et des signatures de détection d'intrusion pour aider les organisations à détecter et à prévenir les tentatives d'exploitation.
Les administrateurs système doivent immédiatement examiner les journaux des appareils KACE pour détecter des indicateurs de compromission, y compris des téléchargements de fichiers inattendus, des modèles d'exécution de commandes inhabituels et des changements de configuration non autorisés. L'avis de sécurité de Quest inclut des entrées de journal spécifiques et des artefacts de système de fichiers qui indiquent une exploitation réussie. Les organisations doivent également vérifier l'intégrité des configurations des appareils gérés et vérifier les déploiements de logiciels non autorisés qui pourraient indiquer un mouvement latéral à partir de systèmes KACE compromis.
Le processus de correction nécessite une brève interruption de service, mais Quest a conçu les mises à jour pour minimiser les temps d'arrêt pour les opérations critiques de gestion des appareils. Les organisations doivent planifier des fenêtres de maintenance pendant les périodes de faible utilisation et s'assurer qu'elles disposent de méthodes d'accès de secours pour les points de terminaison gérés pendant le processus de mise à jour. L'équipe de support technique de Quest fournit une assistance accélérée pour les clients rencontrant des difficultés avec le déploiement des correctifs ou des incidents de compromission suspectés.
