概要
ConnectWiseは、そのAutomate™プラットフォームに存在する重大なセキュリティ脆弱性に対応するため、緊急のセキュリティアップデートを公開しました。この脆弱性により、攻撃者はソフトウェアアップデートを傍受・改ざんし、組織が悪意のあるコードを正規のパッチとして展開してしまうリスクがありました。
特に、安全でない通信チャネルを使用するように設定されたオンプレミス環境にこの問題は存在し、ConnectWise Automate 2025.9では、すべてのエージェント通信にHTTPSを強制することで、これらの弱点に対処しています。
未保護チャネルがもたらす危険性
ConnectWise Automateの一部の展開では、エージェントが平文のHTTPまたはより弱い暗号化設定でサーバーと通信することが許可されていました。この設定により、機密性の高いトラフィックがネットワークベースの攻撃者に傍受され、データが読み取られたり改ざんされたりするリスクが生じていました。
攻撃者はこの脆弱性を悪用して、アップデートプロセスに悪意のあるペイロードを注入し、正規のパッチを装って不正なソフトウェアをインストールさせることが可能です。特に、オンプレミスサーバーがTLS 1.2以上を強制するように設定されていない環境では、エージェント通信が傍受・変更されるリスクが非常に高まります。
脆弱性の詳細
このリスクの根底には、以下の2つの異なる脆弱性があります。
- CVE-2025-11492 (CWE-319): 機密情報の平文送信
CVSS 3.1スコア: 9.6 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
この脆弱性は、データの完全な開示と改ざんを可能にします。 - CVE-2025-11493 (CWE-494): 完全性チェックなしのコードダウンロード
CVSS 3.1スコア: 8.8 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
この脆弱性は、暗号化が施されている場合でも、不正なコードのインストールを可能にします。
いずれの脆弱性も高いCVSS 3.1スコアを獲得しており、攻撃者が制御するネットワークがエージェント通信の機密性、完全性、可用性に与える深刻な影響を反映しています。
ConnectWiseの対応と推奨事項
ConnectWise Automate 2025.9は、すべてのエージェントトラフィックにHTTPS接続を義務付けることで、平文傍受の機会を排除します。クラウドホスト型インスタンスはすでにアップデートが適用されており、将来のパッチの安全な配信が保証されています。
オンプレミスでConnectWise Automateを運用しているパートナーは、以下の対応を直ちに行う必要があります。
- バージョン2025.9より前の影響を受けるバージョンを使用している管理者は、悪用を防ぐために直ちに新しいリリースを適用すべきです。
- オンプレミスサーバーを使用している組織は、ConnectWise Automate 2025.9を遅滞なくダウンロードしてインストールしてください。
- アップデート後、エージェントとサーバー間の接続がHTTPSを要求し、TLS 1.2以降が強制されていることを確認してください。
- 詳細な手順については、公式リリースノート「ConnectWise Automate Release Notes 2025.9」を参照してください。
結論
セキュリティ修正を迅速に適用し、トランスポート暗号化を強化することで、ConnectWiseの顧客は悪意のあるアップデート配信から保護され、自動化された管理インフラストラクチャを新たな脅威から守ることができます。