Saldırının Genel Çerçevesi

Mart 2026’nın ilk haftasında yapılan analizler, internete doğrudan bağlı ve yamalanmamış Quest KACE SMA (Systems Management Appliance) cihazlarında CVE-2025-32975 kodlu kritik güvenlik açığının kötü niyetli aktörler tarafından aktif şekilde istismar edildiğini ortaya koydu. Bu zafiyet, CVSS skoru 10.0 ile en yüksek kritik seviyede sınıflandırılmıştır ve saldırganlara sistem üzerinde tam kontrol imkanı tanımaktadır.

Saldırılar genellikle otomatik tarama araçları kullanılarak, internete açık SMA cihazları hedef alınarak gerçekleştiriliyor. İstismar sürecinde, saldırganlar cihazların yönetim arayüzündeki yetkisiz erişim açığını kullanarak, uzaktan kod çalıştırma (RCE) gerçekleştiriyor. Bu sayede zararlı yazılımlar yüklenebiliyor ve ağ içi hareketlilik sağlanabiliyor.

Hangi Sistemler Risk Altında?

Özellikle orta ve büyük ölçekli kurumların BT altyapılarında yaygın kullanılan Quest KACE SMA cihazları, güncellenmemiş sürümlerle bu saldırılara karşı savunmasız durumda. Finans, sağlık, kamu ve teknoloji sektörlerindeki kurumlar, bu tür yönetim araçlarını yoğun kullandıkları için öncelikli hedefler arasında yer alıyor. Ayrıca, cihazların internete doğrudan açık olması riski artırıyor.

Saldırı Zinciri ve Teknik Detaylar

İstismar süreci genel olarak şu adımlardan oluşuyor:

Tarama ve Keşif: Otomatik araçlarla internete açık SMA cihazlarının tespiti.
Yetkisiz Erişim: CVE-2025-32975 açığının kullanılmasıyla yönetim paneline sızma.
Uzaktan Kod Çalıştırma: Zararlı payload yüklenerek sistem üzerinde tam kontrol sağlanması.
Komuta Kontrol (C2) İletişimi: AsyncRAT gibi araçlarla saldırganın cihazı uzaktan yönetmesi.

Bu saldırı zinciri, MITRE ATT&CK matrisi kapsamında Initial Access (T1190) ve Execution (T1059) tekniklerine karşılık gelmektedir.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

Quest KACE SMA cihazlarının en güncel yamalarının uygulanması.
İnternete açık yönetim arayüzlerinin erişim kontrolü ve mümkünse kapatılması.
EDR çözümleri ile cihazlarda anormal davranışların izlenmesi.
SIEM sistemlerinde CVE-2025-32975 ile ilişkili logların özel olarak takip edilmesi.
Çok faktörlü kimlik doğrulama (MFA) uygulanması.
Ağ segmentasyonu ile yönetim cihazlarının kritik ağlardan izole edilmesi.
Olay müdahale (incident response) planlarının güncellenmesi ve tatbikatların yapılması.
Güvenlik duvarı kurallarının, SMA cihazlarına yönelik trafiği sınırlandıracak şekilde yapılandırılması.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda, güncellenmemiş Quest KACE SMA cihazı üzerinden gerçekleştirilen RCE saldırısı sonrası saldırganlar, kurumun iç ağına sızarak kritik veritabanlarına erişim sağladı. Bu durum, hem müşteri bilgilerinin sızmasına hem de fidye yazılımı saldırısı riskinin artmasına yol açtı. Kurum, olay müdahale ekiplerinin hızlı müdahalesiyle zararın büyümesini engelledi ancak süreç, güçlü güvenlik önlemlerinin önemini bir kez daha ortaya koydu.

Alınabilecek Önlemler

Bu tür kritik zafiyetlere karşı en etkili savunma, düzenli yama yönetimi ve güvenlik politikalarının sıkı uygulanmasıdır. Ayrıca, e-posta güvenliği ve ağ segmentasyonu gibi tamamlayıcı önlemlerle saldırı yüzeyi azaltılabilir. Kurumların, bulut güvenliği ve IAM (Identity and Access Management) çözümlerini entegre ederek kapsamlı bir güvenlik mimarisi oluşturması önerilir.

Daha derin analiz ve güncel tehdit istihbaratı için güvenlik ekiplerinin MITRE ATT&CK framework’ü ve NVD kaynaklarını takip etmesi faydalı olacaktır: CVE-2025-32975 Detayı.

P	S	Ç	P	C	C	P
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Güncellenmemiş Quest KACE SMA Sistemlerinde Kritik CVE-2025-32975 İstismarı ve Korunma Yolları