ConnectWise har rettet kritiske sårbarheter i sin fjernadministrasjonsplattform Automate som kunne muliggjøre AiTM-oppdateringsangrep. Feilen i ConnectWise Automate som tillot slike angrep utsatte leverandører av administrerte tjenester og bedrifter for risiko for ondsinnede oppdateringer og nettverkskompromittering. Selskapet reagerte raskt ved å styrke kryptering, autentisering og validering av oppdateringspakker.
Detaljer om sårbarhetene
Forskere oppdaget to sammenkoblede svakheter som skapte en mulig angrepsvei. Den første, CVE-2025-11492, tillot Automate-agenter å bruke ukrypterte HTTP-tilkoblinger i stedet for HTTPS. Angripere kunne utnytte dette for å avlytte og manipulere kommunikasjon mellom endepunkter.
Den andre, CVE-2025-11493, manglet korrekt integritetsverifisering for oppdateringsfiler. Uten denne beskyttelsen kunne angripere kamuflere skadelig programvare som legitime oppdateringer. Kombinert ga disse svakhetene angripere full kontroll til å levere falske oppdateringer gjennom en pålitelig kanal.
Konsekvenser for brukere
ConnectWise Automate administrerer tusenvis av systemer i både bedrifts- og MSP-miljøer. Angripere som utnyttet disse svakhetene, kunne få administratorrettigheter, installere bakdører og bevege seg lateralt i nettverket.
Sikkerhetsanalytikere påpeker at dette er et klassisk eksempel på en forsyningskjedeangrep der angripere utnytter betrodde verktøy til å spre skadevare i stor skala. Hver kompromitterte server kunne sette hundrevis av tilkoblede enheter i fare.
ConnectWises respons
ConnectWise rettet begge sårbarhetene i Automate versjon 2025.9. Skytjenester ble oppdatert automatisk, mens lokale installasjoner måtte patches manuelt.
Selskapet rådet administratorer til å håndheve bruk av HTTPS, deaktivere HTTP-fallback og sørge for at alle oppdateringspakker har gyldige digitale signaturer. ConnectWise oppfordret også IT-team til å overvåke nettverkslogger for uvanlig aktivitet som kan indikere tidligere utnyttelse.
Ingen aktiv utnyttelse er oppdaget så langt, men selskapet advarte om at upatchede systemer fortsatt er sårbare.
Lærdommer for sikker fjernadministrasjon
Denne hendelsen viser hvorfor kryptering og signaturverifisering er avgjørende for fjernadministrasjonsverktøy. Slike systemer håndterer privilegert tilgang, noe som gjør dem attraktive for angripere.
Sikkerhetsteam bør behandle administrasjonsplattformer som kritiske eiendeler. Kontinuerlig patching, nettverkssegmentering og nulltillitstilgang reduserer risikoen for lignende brudd.
Konklusjon
Feilen i ConnectWise Automate som tillot AiTM-oppdateringsangrep, viser hvordan angripere kan utnytte konfigurasjonsmangler for å kompromittere hele nettverk. ConnectWise handlet raskt for å begrense trusselen, men langsiktig beskyttelse krever årvåkenhet fra brukerne. Ved å installere oppdateringer raskt og validere alle pakker kan organisasjoner hindre at kriminelle gjør kritiske administrasjonsverktøy til angrepsvektorer.
0 svar til “ConnectWise retter Automate-feil som tillot AiTM-oppdateringsangrep”