ConnectWiseは、Automate製品に存在する脆弱性のうち、重大なものを含む複数の脆弱性に対処するセキュリティアップデートをリリースしました。これらの脆弱性は、機密通信が傍受や改ざんされるリスクをもたらします。
ConnectWise Automateは、マネージドサービスプロバイダー(MSP)、ITサービス企業、大企業の社内IT部門によって利用されるリモート監視および管理(RMM)プラットフォームです。
一般的な導入環境では、数千台のクライアントマシンを制御するための高い権限を持つ中央管理ハブとして機能します。
ベンダーが修正した最も深刻な欠陥は、CVE-2025-11492として追跡されています。深刻度9.6のこの脆弱性は、機密情報が平文で送信されることを許します。
具体的には、エージェントが暗号化されたHTTPSではなく、セキュリティの低いHTTPで通信するように設定できるため、攻撃者が中間者(AitM)攻撃を行い、コマンドや認証情報、アップデートのペイロードなどの通信を傍受・改ざんできる可能性があります。
「オンプレミス環境では、エージェントがHTTPを使用するように設定されたり、暗号化に依存したりすることで、ネットワークベースの攻撃者がトラフィックを閲覧・改ざんしたり、悪意のあるアップデートに差し替えたりすることが可能になります」とConnectWiseは説明しています。
2つ目の脆弱性は、CVE-2025-11493(深刻度8.8)として特定されており、アップデートパッケージおよびその依存関係や統合に対する完全性検証(チェックサムやデジタル署名)が欠如していることに起因します。
この2つのセキュリティ問題を組み合わせることで、攻撃者は正規のConnectWiseサーバーになりすまし、悪意のあるファイル(例:マルウェアやアップデート)を正規のものとして配信できる可能性があります。
ConnectWiseは、このセキュリティアップデートを中程度の優先度と位置付けています。同社はクラウドベースのインスタンスについては、最新のAutomateリリース2025.9にアップデートし、両方の問題に対処済みです。
オンプレミス導入環境の管理者に対しては、できるだけ早く(数日以内に)新しいリリースをインストールするよう推奨しています。
セキュリティ速報では、現時点での悪用事例には言及されていませんが、「これらの脆弱性は実際の攻撃で悪用されるリスクが高い」と警告しています。
過去にも、ConnectWise製品の重大な脆弱性が脅威アクターに悪用された例があります。今年初めには、国家支援型の攻撃者が同社の環境に直接侵入し、その攻撃は下流のScreenConnect顧客にも影響を及ぼしました。
このインシデントにより、ベンダーは複数製品の実行ファイル検証に使用していたすべてのデジタルコード署名証明書をローテーションし、不正利用リスクの軽減を図ることを余儀なくされました。
