CRITICAL✓ PATCH🇬🇧 English

CVE-2025-11492

ConnectWise Automate Agent – nieszyfrowana komunikacja HTTP podatna na MITM

CVSS 9.6v3.1pub. 2025-10-16upd. 2025-10-29

ConnectWise Automate Agent mógł być skonfigurowany do komunikacji przez niezabezpieczony protokół HTTP zamiast HTTPS, co umożliwia atakującemu znajdującemu się na ścieżce sieciowej przechwycenie, modyfikację lub ponowne odtworzenie ruchu między agentem a serwerem. Podatność jest oceniana jako krytyczna (CVSS 9.6) ze względu na pełen zakres możliwych skutków i brak wymogu uwierzytelnienia.

Pokaż oryginał (EN)

In the ConnectWise Automate Agent, communications could be configured to use HTTP instead of HTTPS. In such cases, an on-path threat actor with a man-in-the-middle network position could intercept, modify, or replay agent-server traffic. Additionally, the encryption method used to obfuscate some communications over the HTTP channel is updated in the Automate 2025.9 patch to enforce HTTPS for all agent communications.

🤖 Analiza AI
Jak działa

Gdy agent ConnectWise Automate korzysta z protokołu HTTP, cały ruch między agentem a serwerem zarządzającym przesyłany jest bez odpowiedniego szyfrowania transportowego. Atakujący posiadający uprzywilejowaną pozycję sieciową (man-in-the-middle, on-path) w segmencie lokalnym lub sieciowym może przechwycić przesyłane dane, zmodyfikować polecenia lub odpowiedzi serwera, a także ponownie odtworzyć przechwycone pakiety (replay attack). Dotychczasowa metoda obfuskacji stosowana w kanale HTTP nie zapewniała wystarczającej ochrony kryptograficznej. Patch Automate 2025.9 wymusza stosowanie HTTPS dla całej komunikacji agenta.

Skutki

Atakujący może uzyskać pełną kontrolę nad komunikacją agenta z serwerem zarządzającym, co prowadzi do ujawnienia poufnych danych (C:H), modyfikacji przesyłanych poleceń i konfiguracji (I:H) oraz potencjalnego zakłócenia dostępności zarządzanych systemów (A:H) — w tym możliwości wykonania dowolnych poleceń na zarządzanych punktach końcowych.

Mitygacja

Należy zaktualizować ConnectWise Automate do wersji 2025.9 lub nowszej, która wymusza stosowanie HTTPS dla całej komunikacji agenta z serwerem. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta: https://www.connectwise.com/company/trust/security-bulletins/connectwise-automate-2025.9-security-fix

Kogo dotyczy

ConnectWise Automate Agent w wersjach wcześniejszych niż Automate 2025.9, skonfigurowanych do komunikacji przez protokół HTTP

Uwagi

Podatność sklasyfikowana jako CWE-319 (Cleartext Transmission of Sensitive Information). Wektor ataku AV:A wskazuje, że atakujący musi znajdować się w tej samej sieci lokalnej lub segmencie sieciowym co ofiara. Ryzyko jest szczególnie wysokie w środowiskach, gdzie agenci Automate komunikują się przez sieci publiczne lub niezaufane segmenty LAN bez wymuszenia HTTPS.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Connectwise Automate

    APP
    Connectwise
    < 2025.9
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-35066CRITICAL9.8ten sam produkt

An XXE vulnerability exists in ConnectWise Automate before 2021.0.6.132.

CVE-2020-15027CRITICAL9.8ten sam produkt

ConnectWise Automate through 2020.x has insufficient validation on certain authentication paths, allowing auth...

CVE-2026-6066HIGH7.1ten sam produkt

ConnectWise has released a security update for ConnectWise Automate™ that addresses a behavior in the ConnectW...

CVE-2025-11493HIGH8.8ten sam produkt

The ConnectWise Automate Agent does not fully verify the authenticity of files downloaded from the server, suc...

CVE-2023-47257HIGH8.1ten sam produkt

ConnectWise ScreenConnect through 23.8.4 allows man-in-the-middle attackers to achieve remote code execution v...