नई दिल्ली। साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि Quest KACE Systems Management Appliance (SMA) में गंभीर सुरक्षा भेद्यता CVE-2025-32975 (CVSS 10.0) का शोषण कर हमलावरों ने अनपैच्ड सिस्टम्स पर नियंत्रण स्थापित किया है। यह भेद्यता, जिसे मई 2025 में पैच किया गया था, एडमिनिस्ट्रेटिव अकाउंट को बायपास करने और वैध यूजर के रूप में लॉगिन करने की अनुमति देती है।
अर्कटिक वुल्फ द्वारा रिपोर्ट किए गए हालिया मामलों में यह देखा गया कि मार्च के दूसरे सप्ताह से हमलावरों ने ऐसी गतिविधियां शुरू कीं जो CVE-2025-32975 के शोषण के अनुरूप हैं। इन हमलों में SMA इंस्टेंस, जो इंटरनेट पर एक्सपोज़ थे, लक्षित हुए। अभी तक हमले का अंतिम उद्देश्य स्पष्ट नहीं है, लेकिन शुरुआती जांच से पता चला कि हमलावरों ने एडमिन अकाउंट्स पर कब्जा किया और रिमोट कमांड के जरिए Base64-एन्कोडेड पेलोड्स सर्वर 216.126.225[.]156 से डाउनलोड किए।
विशेषज्ञों के अनुसार, हमलावरों ने “runkbot.exe” प्रक्रिया का उपयोग कर अतिरिक्त एडमिन अकाउंट बनाए। यह SMA एजेंट का बैकग्राउंड प्रोसेस है, जो स्क्रिप्ट चलाने और इंस्टॉलेशन प्रबंधन के लिए प्रयोग होता है। इसके अलावा, विंडोज रजिस्ट्री में पॉवरशेल स्क्रिप्ट के माध्यम से परिवर्तन किए गए, जिससे सिस्टम पर स्थायित्व या कॉन्फ़िगरेशन में बदलाव संभव हो सके।
हमलावरों द्वारा की गई अन्य गतिविधियों में शामिल हैं:
- क्रेडेंशियल चोरी: Mimikatz का उपयोग कर लॉगिन डिटेल्स हासिल करना।
- डिस्कवरी और रिकॉन्सेंस: लॉगिन किए गए यूजर्स और एडमिन अकाउंट्स की पहचान करना, “net time” और “net group” कमांड्स चलाना।
- रिमोट एक्सेस: बैकअप इन्फ्रास्ट्रक्चर जैसे Veeam और Veritas तथा डोमेन कंट्रोलर्स तक RDP एक्सेस हासिल करना।
FutureCrime Summit 2026 Calls for Speakers From Government, Industry and Academia
साइबर सुरक्षा विशेषज्ञों ने एडमिनिस्ट्रेटरों को चेतावनी दी है कि वे अपने SMA इंस्टेंस को इंटरनेट पर एक्सपोज़ न करें और नवीनतम पैच तुरंत लागू करें। सुरक्षा को मजबूत बनाने के लिए पैच वर्ज़न 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) और 14.1.101 (Patch 4) उपलब्ध हैं।
विशेषज्ञ बताते हैं कि ऐसे हमले केवल सिस्टम कंट्रोल के लिए नहीं होते, बल्कि डेटा चोरी, नेटवर्क में फैलाव और रिमोट एंट्री पॉइंट्स बनाने के लिए भी प्रयोग किए जाते हैं। “किसी भी एडमिनिस्ट्रेटिव सिस्टम में पैचिंग की कमी, साइबर अपराधियों के लिए सीधे प्रवेश का द्वार खोल देती है,” अर्कटिक वुल्फ ने अपने ब्लॉग में उल्लेख किया।
साइबर सुरक्षा का दृष्टिकोण अपनाने वाले संगठनों के लिए यह घटना एक चेतावनी है कि पुराने और अनपैच्ड सिस्टम्स को इंटरनेट पर एक्सपोज़ करना कितना खतरनाक हो सकता है। साथ ही, क्रेडेंशियल मॉनिटरिंग, रजिस्ट्री मॉनिटरिंग और रिमोट कमांड लॉगिंग जैसे सुरक्षा उपाय तत्काल अपनाने की आवश्यकता है।
Quest KACE SMA उपयोगकर्ताओं को भी सलाह दी गई है कि वे एजेंट और बैकअप सर्विसेज़ की नियमित जाँच करें और किसी भी असामान्य गतिविधि को तुरंत रिपोर्ट करें। ऐसा न करने पर एडमिन अकाउंट और बैकअप डेटा तक हमलावरों की पहुंच बढ़ सकती है।
साइबर सुरक्षा विशेषज्ञों का मानना है कि भविष्य में ऐसे हमलों को रोकने के लिए संगठन को पैच मैनेजमेंट, नेटवर्क सेगमेंटेशन और एक्सेस कंट्रोल की सख्ती बढ़ानी होगी। साथ ही, कर्मचारियों और आईटी टीमों को नियमित साइबर सुरक्षा ट्रेनिंग देना भी अनिवार्य है, ताकि सोशल इंजीनियरिंग और मालवेयर हमलों से बचाव किया जा सके।
