Critical ConnectWise Vulnerabilities Allow Attackers To Inject Malicious Updates
2025/10/17 CyberSecurityNews — ConnectWise が 2025年10月16日に公表したのは、Automate プラットフォーム向けに重要なセキュリティ・アップデートのリリースである。このバージョン 2025.9 は、エージェント通信における2件の深刻な脆弱性 CVE-2025-11492/CVE-2025-11493 に対処するものだ。これらの脆弱性を悪用する攻撃者は、機密データの傍受や悪意のソフトウェア・アップデート・プッシュなどの可能性を手にする。影響が及ぶ範囲は主にオンプレミス環境であり、ミスコンフィグが生じているシステムが、ネットワーク・ベースの攻撃ベクターに晒される可能性がある。
この問題は、暗号化されていない HTTP 通信や旧式の暗号化プロトコルにエージェントが依存する環境で発生し、同一のローカル・ネットワーク内の攻撃者が通信を傍受し、アップデートのダウンロードを改竄することで、データ漏洩やシステム全体の侵害につながる可能性がある。
ConnectWise は、これらの脆弱性を深刻度 Important、優先度 Moderate に分類している。即時的かつ壊滅的な影響はないとされるが、迅速な修正により標的型の攻撃リスクに対処すべきだ。
ConnectWise の脆弱性
今回のアップデートの中核となる2つの脆弱性は、隣接ネットワークへのアクセスを必要とするが、ユーザー操作は不要な攻撃を可能にするものだ。1件目の CVE-2025-11492 は、機密データを平文で送信するエージェントを介して、資格情報や運用情報が漏洩するというリスクを高める。2件目の CVE-2025-11493 は、アップデートをダウンロード時におけるコードの整合性検証の欠如に起因する。この欠陥を突く攻撃者に、正規アップデートをマルウェアに置換するという操作を許すことになる。
| CVE ID | CWE ID | Description | Base Score | Vector (CVSS:3.1) |
|---|---|---|---|---|
| CVE-2025-11492 | CWE-319 | Cleartext Transmission of Sensitive Information | 9.6 | AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
| CVE-2025-11493 | CWE-494 | Download of Code Without Integrity Check | 8.8 | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
この脆弱性が影響を及ぼす範囲は、バージョン 2025.9 未満のすべてのリリースであり、ConnectWise Automate をリモート管理に使用する、数千の IT サービス・プロバイダーに影響を与える。修正の対象は明確であり、迅速な実施が求められる。
すべてのオンプレミス・ユーザーは、エージェント通信に HTTPS を強制するためのパッチを手動で適用する必要があり、また、ダウングレード攻撃を防ぐための TLS 1.2 の有効化が推奨される。その一方で、クラウドホスト型インスタンスでは、すでに ConnectWise がバージョン 2025.9 のアップデートを自動展開しているため、影響は最小限に抑えられている。
セキュリティ専門家たちが迅速な対応を強く推奨するのは、特にマルチテナント環境において、侵害された1つのエージェントからクライアント・ネットワーク全体へと、影響が波及する可能性があるからだ。
今回のリリースが浮き彫りにするのは、エンドポイント管理セキュリティにおける継続的な攻防の構図である。リモートワークが定着する中で、ConnectWise Automate のようなツールは、サプライチェーン型攻撃の主要な標的として狙われ続けている。
ConnectWise Automate に深刻な脆弱性が発生しています。要点は、エージェント側の通信保護不足と、更新配信の整合性検証の欠如にあるようです。暗号化されていない HTTP や旧式暗号、更新時の検証不足が重なると、隣接ネットワークの攻撃者による傍受や改竄が生じる恐れがあります。オンプレミスのミスコンフィグもリスクを高めていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、ConnectWise で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.