{"id":326,"date":"2026-03-23T07:51:21","date_gmt":"2026-03-23T07:51:21","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/los-piratas-informaticos-aprovechan-cve-2025-32975-cvss-10-0-para-secuestrar-sistemas-quest-kace-sma-sin-parches-cyberdefensa-mx\/"},"modified":"2026-03-23T07:51:21","modified_gmt":"2026-03-23T07:51:21","slug":"los-piratas-informaticos-aprovechan-cve-2025-32975-cvss-10-0-para-secuestrar-sistemas-quest-kace-sma-sin-parches-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/los-piratas-informaticos-aprovechan-cve-2025-32975-cvss-10-0-para-secuestrar-sistemas-quest-kace-sma-sin-parches-cyberdefensa-mx\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan CVE-2025-32975 (CVSS 10.0) para secuestrar sistemas Quest KACE SMA sin parches \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Seg\u00fan Arctic Wolf, se sospecha que los actores de amenazas est\u00e1n explotando una falla de seguridad de m\u00e1xima gravedad que afecta al dispositivo de administraci\u00f3n de sistemas (SMA) Quest KACE.<\/p>\n

La empresa de ciberseguridad dicho<\/a> observ\u00f3 actividad maliciosa a partir de la semana del 9 de marzo de 2026 en entornos de clientes que es consistente con la explotaci\u00f3n de CVE-2025-32975<\/a> en sistemas SMA sin parches expuestos a Internet. Actualmente no se sabe cu\u00e1les son los objetivos finales del ataque.<\/p>\n

CVE-2025-32975 (puntuaci\u00f3n CVSS: 10,0) se refiere a un vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n<\/a> que permite a los atacantes hacerse pasar por usuarios leg\u00edtimos sin credenciales v\u00e1lidas. La explotaci\u00f3n exitosa de la falla podr\u00eda facilitar la toma completa de las cuentas administrativas. Quest solucion\u00f3 el problema en mayo de 2025.<\/p>\n

En la actividad maliciosa detectada por Arctic Wolf, se cree que los actores de amenazas han utilizado la vulnerabilidad como arma para tomar el control de cuentas administrativas y ejecutar comandos remotos para eliminar cargas \u00fatiles codificadas en Base64 desde un servidor externo (216.126.225[.]156) mediante el comando curl.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Luego, los atacantes desconocidos procedieron a crear cuentas administrativas adicionales a trav\u00e9s de \u00abrunkbot.exe<\/a>\u00ab, un proceso en segundo plano asociado con el Agente SMA que se utiliza para ejecutar scripts y administrar instalaciones. Tambi\u00e9n se detectaron modificaciones del Registro de Windows a trav\u00e9s de un script de PowerShell para posibles cambios de persistencia o configuraci\u00f3n del sistema.<\/p>\n

Otras acciones emprendidas por los actores de amenazas se enumeran a continuaci\u00f3n:<\/p>\n