ConnectWiseは、攻撃者が中間者(MiTM)攻撃を行う可能性があるAutomateリモート監視・管理(RMM)ツールの2つの脆弱性に対してパッチをリリースしました。
Automateは、企業やマネージドサービスプロバイダー(MSP)向けのRMMツールで、組織がネットワーク上のすべての接続デバイスを特定、監視、管理することを可能にします。
先週、ConnectWiseはAutomateバージョン2025.9をリリースし、CVE-2025-11492(CVSSスコア9.6)に対するパッチを提供しました。これは、攻撃者が平文で送信されている機密情報を傍受できる重大なバグです。
さらに同社は、CVE-2025-11493(CVSSスコア8.8)として追跡されているRMMソフトウェアの高深刻度の脆弱性について警告し、コードのダウンロード時に整合性チェックが行われていないことを説明しました。
これらの脆弱性についてConnectWiseは、「特定の構成が使用されている場合、エージェントの通信やアップデートが傍受または改ざんされる可能性がある」と述べています。
本質的に、オンプレミスに展開されたエージェントがHTTPや暗号化を使用するように構成されている場合、ネットワークにアクセスできる攻撃者が通信を閲覧または改ざんできると同社は説明しています。
また、MiTM攻撃を行う脅威アクターが悪意のあるアップデートに置き換える可能性もあると同社は警告しています。
「Automate 2025.9パッチは、これらのリスクを軽減するためにすべてのエージェント通信でHTTPSを強制します。オンプレミスサーバーを運用しているパートナーは、TLS 1.2が強制されていることも確認し、安全な通信を維持してください」とConnectWiseは述べています。
同社は、これらの脆弱性を「重要」と評価しており、データ漏洩につながる可能性があるものの、悪用には追加のアクセスが必要であるとしています。
しかし、同時に「中程度」の優先度も付与しており、これは通常「実際に標的にされている、または標的にされるリスクが高いセキュリティ欠陥」に割り当てられるものです。
オンプレミスのConnectWise Automateを利用しているすべての組織に対し、できるだけ早くインストールを更新することが推奨されています。
翻訳元: https://www.securityweek.com/connectwise-patches-critical-flaw-in-automate-rmm-tool/
