ConnectWise hat kritische Schwachstellen in seiner Remote-Management-Plattform Automate behoben, die AiTM-Update-Angriffe ermöglichten. Die Sicherheitslücke in ConnectWise Automate, die solche Angriffe erlaubte, setzte Managed-Service-Provider und Unternehmen dem Risiko schädlicher Updates und Netzwerkkompromittierungen aus. Das Unternehmen reagierte schnell, um Verschlüsselung, Authentifizierung und Paketvalidierung zu verstärken.
Details zu den Schwachstellen
Forscher entdeckten zwei miteinander verbundene Schwachstellen, die zusammen einen Angriffsweg ermöglichten. Die erste, CVE-2025-11492, erlaubte es Automate-Agenten, unverschlüsselte HTTP-Verbindungen anstelle von HTTPS zu verwenden. Angreifer konnten dies ausnutzen, um die Kommunikation zwischen Endpunkten abzufangen und zu manipulieren.
Die zweite, CVE-2025-11493, verfügte über keine ordnungsgemäße Integritätsprüfung für Update-Dateien. Ohne diesen Schutz konnten Angreifer Schadsoftware als legitime Patches tarnen. In Kombination ermöglichten die Schwachstellen es Angreifern, gefälschte Updates über einen vertrauenswürdigen Kanal bereitzustellen.
Auswirkungen auf Benutzer
ConnectWise Automate verwaltet Tausende von Systemen in Unternehmens- und MSP-Umgebungen. Angreifer, die diese Schwachstellen ausnutzten, konnten Administratorrechte erlangen, Hintertüren installieren und sich seitlich durch Netzwerke bewegen.
Sicherheitsanalysten stellten fest, dass dieses Szenario ein klassisches Beispiel für ein Supply-Chain-Risiko darstellt: Angreifer nutzen vertrauenswürdige Werkzeuge, um Malware im großen Maßstab zu verbreiten. Jeder kompromittierte Server könnte Hunderte verbundene Geräte gefährden.
Reaktion von ConnectWise
ConnectWise hat beide Schwachstellen in Automate Version 2025.9 behoben. Cloud-Bereitstellungen erhielten automatische Updates, während On-Premise-Benutzer die Patches manuell installieren mussten.
Das Unternehmen riet Administratoren, ausschließlich HTTPS zu verwenden, HTTP-Fallbacks zu deaktivieren und sicherzustellen, dass alle Update-Pakete gültige digitale Signaturen tragen. Außerdem empfahl ConnectWise IT-Teams, Netzwerkprotokolle auf ungewöhnliche Aktivitäten zu überwachen, die auf eine frühere Ausnutzung hindeuten könnten.
Bisher wurden keine aktiven Angriffe festgestellt, aber das Unternehmen warnte, dass ungepatchte Systeme weiterhin anfällig bleiben.
Lehren für die Sicherheit im Remote-Management
Dieser Fall zeigt, warum Verschlüsselung und Signaturüberprüfung für Remote-Management-Tools unerlässlich sind. Diese Systeme verwalten privilegierte Zugänge und sind daher besonders attraktive Ziele für Angreifer.
Sicherheitsteams sollten Verwaltungsplattformen als kritische Assets betrachten. Regelmäßiges Patchen, Netzwerksegmentierung und Zero-Trust-Zugangsrichtlinien senken das Risiko ähnlicher Sicherheitsvorfälle.
Fazit
Der Automate-Fehler von ConnectWise, der AiTM-Update-Angriffe ermöglichte, zeigt, wie Angreifer übersehene Konfigurationslücken ausnutzen können, um ganze Netzwerke zu kompromittieren. ConnectWise reagierte schnell, um die Bedrohung einzudämmen, doch langfristiger Schutz hängt von der Wachsamkeit der Nutzer ab. Durch zeitnahes Patchen und die Validierung jeder Aktualisierung können Organisationen verhindern, dass Angreifer kritische Verwaltungswerkzeuge in Angriffsvektoren verwandeln.
0 Antworten zu „ConnectWise behebt Automate-Fehler, der AiTM-Update-Angriffe ermöglichte“