ConnectWiseは、同社のAutomateプラットフォームに重大なセキュリティ脆弱性を開示しました。この脆弱性により、同一ネットワーク上の攻撃者がエージェントのアップデートおよびプラグイン読み込みプロセスの弱点を悪用して、悪意のあるコードを実行できる可能性があります。
CVE-2026-9089として追跡され、CWE-494(整合性チェックなしのコードダウンロード)に分類されるこの脆弱性は、CVSS 3.1ベーススコア8.8を持ち、ConnectWiseによって重要と評価されています。
この欠陥は、ConnectWise Automateエージェントのプラグインロードおよびセルフアップデートプロセスに存在しており、特定の条件下でダウンロードされたコンポーネントが完全な整合性検証なしに処理・読み込まれるため、コンポーネント置換攻撃への扉が開かれています。
隣接ネットワークへのアクセスを持つ攻撃者が、権限不要かつユーザーの操作も不要でこの欠陥を悪用し、機密性・整合性・可用性に高い影響を与える侵害を実現できます。
ConnectWise Automateがこの種の脆弱性に直面するのは今回が初めてではありません。ほぼ同一の欠陥であるCVE-2025-11493は、アップデートパッケージ・依存関係・統合機能の整合性検証の欠如により、Automate 2025.9でパッチが適用されました。
同じリリースサイクルで発見された平文送信バグ(CVE-2025-11492、CVSS 9.6)と組み合わせると、攻撃者は正規サーバーになりすまして悪意のあるファイルを正規のConnectWiseアップデートとして配信できます。
研究者らは、整合性チェックの欠陥がネットワーク傍受能力と組み合わさった場合、「特権的なネットワーク上の攻撃者が正規のアップデートファイルを傍受して悪意のあるものに置き換えることができる」とし、その結果としてリモートコード実行が可能になると指摘しています。
ConnectWise Automateは、世界中の数千ものマネージドサービスプロバイダー(MSP)が、昇格したシステム権限でクライアントのエンドポイントを管理するために導入しています。
これにより、RMMツールはランサムウェア事業者やサプライチェーン脅威アクターにとって格好の標的となっています。エージェント層への攻撃が成功すると、大規模な顧客環境全体へのアクセスが連鎖的に広がる可能性があります。
ConnectWiseはこのパターンを認め、これらの種類の脆弱性は「特定の設定が使用された場合、エージェントの通信やアップデートが傍受または改ざんにさらされる可能性がある」と述べています。
クラウドホスト型インスタンスはすでに最新リリースに自動更新されており、追加対応は不要です。
一方、オンプレミスの管理者は、すべてのエージェントコンポーネントに対する強化された整合性検証を含むAutomate 2026.5リリースを手動で適用する必要があります。
ConnectWiseはこれをPriority 2(中程度)に分類し、標準的な変更管理を通じて30日以内にパッチを適用することを推奨しています。
ただし、CVSSスコア8.8という深刻度と、同様のCVEがMSPサプライチェーンに対して兵器化されてきた歴史を踏まえると、セキュリティチームはこのアップデートを即時対応すべき優先事項として扱うべきです。
翻訳元: https://cyberpress.org/connectwise-automate-flaw/
