ConnectWise Automate Agent mógł być skonfigurowany do komunikacji przez niezabezpieczony protokół HTTP zamiast HTTPS, co umożliwia atakującemu znajdującemu się na ścieżce sieciowej przechwycenie, modyfikację lub ponowne odtworzenie ruchu między agentem a serwerem. Podatność jest oceniana jako krytyczna (CVSS 9.6) ze względu na pełen zakres możliwych skutków i brak wymogu uwierzytelnienia.
▸ Pokaż oryginał (EN)
In the ConnectWise Automate Agent, communications could be configured to use HTTP instead of HTTPS. In such cases, an on-path threat actor with a man-in-the-middle network position could intercept, modify, or replay agent-server traffic. Additionally, the encryption method used to obfuscate some communications over the HTTP channel is updated in the Automate 2025.9 patch to enforce HTTPS for all agent communications.
Gdy agent ConnectWise Automate korzysta z protokołu HTTP, cały ruch między agentem a serwerem zarządzającym przesyłany jest bez odpowiedniego szyfrowania transportowego. Atakujący posiadający uprzywilejowaną pozycję sieciową (man-in-the-middle, on-path) w segmencie lokalnym lub sieciowym może przechwycić przesyłane dane, zmodyfikować polecenia lub odpowiedzi serwera, a także ponownie odtworzyć przechwycone pakiety (replay attack). Dotychczasowa metoda obfuskacji stosowana w kanale HTTP nie zapewniała wystarczającej ochrony kryptograficznej. Patch Automate 2025.9 wymusza stosowanie HTTPS dla całej komunikacji agenta.
Atakujący może uzyskać pełną kontrolę nad komunikacją agenta z serwerem zarządzającym, co prowadzi do ujawnienia poufnych danych (C:H), modyfikacji przesyłanych poleceń i konfiguracji (I:H) oraz potencjalnego zakłócenia dostępności zarządzanych systemów (A:H) — w tym możliwości wykonania dowolnych poleceń na zarządzanych punktach końcowych.
Należy zaktualizować ConnectWise Automate do wersji 2025.9 lub nowszej, która wymusza stosowanie HTTPS dla całej komunikacji agenta z serwerem. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta: https://www.connectwise.com/company/trust/security-bulletins/connectwise-automate-2025.9-security-fix
ConnectWise Automate Agent w wersjach wcześniejszych niż Automate 2025.9, skonfigurowanych do komunikacji przez protokół HTTP
Podatność sklasyfikowana jako CWE-319 (Cleartext Transmission of Sensitive Information). Wektor ataku AV:A wskazuje, że atakujący musi znajdować się w tej samej sieci lokalnej lub segmencie sieciowym co ofiara. Ryzyko jest szczególnie wysokie w środowiskach, gdzie agenci Automate komunikują się przez sieci publiczne lub niezaufane segmenty LAN bez wymuszenia HTTPS.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HConnectwise Automate
APPConnectwise< 2025.9
Powiązane podatności
An XXE vulnerability exists in ConnectWise Automate before 2021.0.6.132.
ConnectWise Automate through 2020.x has insufficient validation on certain authentication paths, allowing auth...
ConnectWise has released a security update for ConnectWise Automate™ that addresses a behavior in the ConnectW...
The ConnectWise Automate Agent does not fully verify the authenticity of files downloaded from the server, suc...
ConnectWise ScreenConnect through 23.8.4 allows man-in-the-middle attackers to achieve remote code execution v...