Dentro de KACE: Cómo un parche olvidado abrió las puertas corporativas a ladrones de credenciales

Todo comenzó silenciosamente en marzo de 2026: un puñado de equipos de seguridad notó inicios de sesión inusuales, cuentas de administrador sospechosas y las señales inequívocas de una intrusión digital. ¿El culpable? No fue un zero-day, sino una vulnerabilidad de casi un año de antigüedad en el KACE Systems Management Appliance (SMA) de Quest que ya debería ser historia. En cambio, está en el centro de una nueva ola de robos de credenciales, con atacantes que eluden la autenticación y toman el control de redes empresariales - un parche descuidado a la vez.

Anatomía de una Brecha

KACE SMA, en quien confían las organizaciones para gestionar miles de endpoints, se ha convertido en el epicentro de una sofisticada operación de robo de credenciales. La vulnerabilidad - CVE-2025-32975 - reside en el mecanismo de Single Sign-On (SSO) del dispositivo. Si no se aplica el parche, permite a los atacantes suplantar a cualquier usuario, otorgándoles privilegios administrativos instantáneos.

Investigadores de seguridad de Arctic Wolf han rastreado el modus operandi de los atacantes. Una vez dentro, los intrusos no pierden tiempo: usando el propio KPluginRunProcess de KACE, ejecutan comandos remotos, desplegando cargas útiles codificadas en Base64 para pasar desapercibidos. Archivos maliciosos se descargan silenciosamente desde servidores externos y la persistencia se establece abusando de runkbot.exe para crear cuentas de administrador ocultas. Scripts de PowerShell, camuflados bajo nombres inocuos, reescriben configuraciones del registro, asegurando que el acceso de los atacantes sobreviva incluso después de reinicios del sistema.

Luego, los atacantes enfocan su atención en el verdadero premio: las credenciales. Desplegando Mimikatz (a veces disfrazado como asd.exe), recolectan nombres de usuario y contraseñas directamente de la memoria del sistema. Con estas nuevas llaves, los hackers mapean la red interna, buscando controladores de dominio y servidores de respaldo que ejecuten Veeam o Veritas - objetivos principales para una explotación adicional. Se inician sesiones de Remote Desktop Protocol (RDP) hacia infraestructuras críticas, convirtiendo un solo dispositivo sin parchear en una plataforma de lanzamiento para devastadores ataques laterales.

Sellando las Fugas

A pesar de que Quest lanzó parches en mayo de 2025, los dispositivos desactualizados siguen expuestos - a menudo porque los equipos de administración subestiman el riesgo o pasan por alto sistemas aislados. La solución es clara: actualizaciones inmediatas a las últimas versiones de KACE SMA, con la eliminación estricta del acceso público a internet para las interfaces de administración. Los expertos en seguridad instan a las organizaciones a restringir el acceso mediante VPNs seguras o firewalls y a auditar regularmente la existencia de cuentas de administrador sospechosas y scripts inusuales.

Conclusión

La lección es contundente: en el mundo de la ciberdefensa, las vulnerabilidades de ayer pueden ser el desastre de mañana. Mientras los usuarios de KACE SMA se apresuran a aplicar parches y asegurar sus redes, el incidente es un recordatorio aleccionador: la seguridad es tan fuerte como el eslabón más débil y descuidado.

WIKICROOK

• Omisión de Autenticación: La omisión de autenticación es una vulnerabilidad que permite a los atacantes saltarse o engañar el proceso de inicio de sesión, accediendo a sistemas sin credenciales válidas.
• Inicio de Sesión Único: El Single Sign-On (SSO) permite a los usuarios acceder a múltiples servicios con un solo inicio de sesión, simplificando el acceso pero aumentando el riesgo si las credenciales se ven comprometidas.
• Persistencia: La persistencia implica técnicas usadas por malware para sobrevivir a reinicios y permanecer oculto en los sistemas, a menudo imitando procesos o actualizaciones legítimas.
• Mimikatz: Mimikatz es una herramienta que extrae contraseñas y datos de autenticación de computadoras Windows, utilizada frecuentemente en pruebas de ciberseguridad y por hackers.
• Movimiento Lateral: El movimiento lateral ocurre cuando los atacantes, tras vulnerar una red, se desplazan lateralmente para acceder a más sistemas o datos sensibles, ampliando su control y alcance.