はじめに
ConnectWiseは、同社のリモート監視・管理(RMM)プラットフォームである「ConnectWise Automate」において、深刻な脆弱性を修正するセキュリティアップデートをリリースしました。これらの脆弱性は、攻撃者が中間者攻撃(AiTM)を介して機密情報を傍受したり、悪意のあるアップデートを配信したりする可能性を秘めていました。
ConnectWise Automateの脆弱性
今回修正された脆弱性は主に2つあり、そのうちの1つは極めて高い深刻度と評価されています。
- CVE-2025-11492(深刻度 9.6): この脆弱性は、機密情報が平文で送信されることを許容するものです。具体的には、エージェントが暗号化されたHTTPSではなく、安全でないHTTPを介して通信するように設定される可能性がありました。これにより、ネットワークベースの攻撃者はAiTM攻撃を実行し、コマンド、認証情報、アップデートペイロードを含むトラフィックを傍受または改ざんすることが可能でした。ConnectWiseは、「オンプレミス環境では、エージェントがHTTPを使用するように設定されたり、暗号化に依存したりする可能性があり、ネットワークベースの攻撃者がトラフィックを閲覧または変更したり、悪意のあるアップデートを置き換えたりする可能性がある」と説明しています。
- CVE-2025-11493(深刻度 8.8): この脆弱性は、アップデートパッケージとその依存関係、統合に対する整合性検証(チェックサムやデジタル署名)の欠如に起因します。
攻撃シナリオ
これら2つの脆弱性を組み合わせることで、攻撃者はより深刻な攻撃を実行できる可能性がありました。具体的には、有効なConnectWiseサーバーになりすますことで、悪意のあるファイル(マルウェアや改ざんされたアップデートなど)を正規のアップデートとしてプッシュすることが可能になります。
ConnectWise Automateとは
ConnectWise Automateは、マネージドサービスプロバイダー(MSP)、ITサービス企業、および大企業の社内IT部門で利用されているRMMプラットフォームです。典型的な展開では、数千台のクライアントマシンを制御するための高い特権を持つ中央管理ハブとして機能します。
対応と推奨事項
ConnectWiseは、今回のセキュリティアップデートを「中程度の優先度」と位置付けています。クラウドベースのインスタンスについては、すでに最新のAutomateリリース2025.9に更新済みです。オンプレミス環境の管理者に対しては、できるだけ早く(数日以内に)新しいリリースをインストールするよう強く推奨しています。
過去の事例と今後の注意
セキュリティ速報では、これらの脆弱性が現在積極的に悪用されているとは言及していませんが、「野外での悪用標的となるリスクが高い」と警告しています。ConnectWise製品の深刻な脆弱性は、過去にも脅威アクターによって悪用されてきました。今年初めには、国家支援型アクターが同社の環境を直接侵害し、多くのScreenConnect顧客に影響を与えた事件が発生。これにより、ConnectWiseは広範な製品の実行可能ファイルを検証するデジタルコード署名証明書をすべてローテーションせざるを得なくなりました。