מערכת Quest KACE Systems Management Appliance (SMA) נפוצה מאוד בארגונים לניהול מרכזי של תחנות קצה — עדכוני תוכנה, מדיניות אבטחה, פריסת אפליקציות. בסוף פברואר 2026 חשפו חוקרי Assetnote פגיעות קריטית עם ציון CVSS מקסימלי של 10.0, ובמרץ 2026 כבר נצפתה ניצול פעיל בשטח.
הפגיעות, CVE-2025-32975, מאפשרת לתוקף לא-מאומת לקבל גישת root מלאה לציוד ומשם לשלוט בכל הארגון.
מה הפגיעות מאפשרת?
CVE-2025-32975 היא פגיעות path traversal בנקודת הקצה של KACE SMA. תוקף לא-מאומת יכול להעלות קובץ PHP זדוני למיקום נגיש ולהריץ קוד עם הרשאות root. לא נדרש שם משתמש וסיסמה — מספיקה גישה לממשק ה-web של ה-appliance.
Arctic Wolf תיעדה החל ממרץ 2026 כניסות לארגונים שבהן התוקפים ניצלו את הפגיעות כדי להשתלט על חשבונות מנהל, להריץ פקודות מרחוק ולהוריד payloads מקודדים ממקורות חיצוניים. CISA הוסיפה את הפגיעות לרשימת ה-KEV.
מי בסיכון?
כל ארגון שמפעיל KACE SMA בגרסאות 11.0 עד 12.0 חשוף. Quest פרסמה תיקון במרץ 2026 — הגרסאות המתוקנות הן 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) ו-14.1.101 (Patch 4). ארגונים שה-appliance שלהם חשוף לאינטרנט ולא עדכנו — בסיכון גבוה מאוד.
הסיכון גדול במיוחד כי KACE SMA הוא כלי ניהול מרכזי. שליטה בו שווה שליטה בכל תחנות הקצה שמנוהלות דרכו.
מה עושים עכשיו?
עדכנו מיד לגרסה מתוקנת. אם עדיין על גרסה פגיעה, הסירו את ה-appliance מחשיפה ישירה לאינטרנט לפחות עד לעדכון.
בדקו סימני פריצה: חפשו קבצי PHP לא מוכרים בספריות ה-web, בדקו לוגים לגישות חריגות, וחפשו תהליכים שמורידים תוכן מ-IP חיצוני.
בדקו גם את הפגיעויות הנלוות: CVE-2025-32976 עד 32978 תוקנו באותו עדכון. אמנם לא תועד ניצול שלהן בפועל, אבל תיקון אחד מכסה הכל.
הלקח הרחב
KACE SMA הוא בדיוק הסוג של כלי שתוקפים מחפשים: גישה מרכזית, הרשאות גבוהות, לעיתים קרובות חשוף לאינטרנט לנוחות המנהלים. כלי ניהול endpoint חשוף לאינטרנט ללא עדכונים הוא הגדרה מדויקת של הזדמנות לתוקף — בדיוק כמו שראינו לאחרונה עם פגיעות Apex One.
יש לכם ציוד KACE בסביבה שלכם ואתם לא בטוחים במצב שלו? צרו איתנו קשר לבדיקה.