ConnectWise a publié une mise à jour de sécurité pour corriger des vulnérabilités, dont l’une avec une gravité critique, dans le produit Automate qui pourraient exposer les communications sensibles à l’interception et à la modification.
ConnectWise Automate est une plateforme de surveillance et de gestion à distance (RMM) utilisée par les fournisseurs de services gérés (MSP), les sociétés de services informatiques et les services informatiques internes des grandes entreprises.
Dans les déploiements typiques, il agit comme un hub de gestion central avec des privilèges élevés pour contrôler des milliers de machines clientes.
La faille la plus grave corrigée par le fournisseur est suivie comme CVE-2025-11492. Avec un indice de gravité de 9,6, la vulnérabilité permet la transmission en clair d’informations sensibles.
Plus précisément, les agents pourraient être configurés pour communiquer via le HTTP non sécurisé au lieu du HTTPS crypté, qui pourrait être exploité dans des attaques AITM (adversary-in-the-middle) pour intercepter ou modifier le trafic, y compris les commandes, les informations d’identification et les charges utiles de mise à jour.
“Dans les environnements sur site, les agents pourraient être configurés pour utiliser HTTP ou s’appuyer sur le cryptage, ce qui pourrait permettre à un adversaire basé sur le réseau de visualiser ou de modifier le trafic ou de remplacer les mises à jour malveillantes”, explique ConnectWise.
La deuxième vulnérabilité est identifiée comme CVE-2025-11493 (score de gravité de 8,8) et consiste en un manque de vérification de l’intégrité (somme de contrôle ou signature numérique) des packages de mise à jour ainsi que de leurs dépendances et intégrations.
En combinant les deux problèmes de sécurité, un attaquant pourrait pousser des fichiers malveillants (par exemple des logiciels malveillants, des mises à jour) comme légitimes en se faisant passer pour un serveur ConnectWise valide.
ConnectWise marque la mise à jour de sécurité comme une priorité modérée. La société a résolu les deux problèmes pour les instances basées sur le cloud, qui ont été mises à jour vers la dernière version d’Automate, 2025.9.
La recommandation du fournisseur pour les administrateurs de déploiements sur site est de prendre des mesures et d’installer la nouvelle version dès que possible (en quelques jours).
Le bulletin de sécurité ne mentionne pas l’exploitation active, mais avertit que les vulnérabilités » ont un risque plus élevé d’être ciblées par des exploits dans la nature. »
Les auteurs de menaces ont exploité des failles de gravité critique dans les produits ConnectWise par le passé. Plus tôt cette année, des acteurs étatiques ont violé directement l’environnement de l’entreprise, l’attaque ayant eu un impact sur un certain nombre de clients ScreenConnect en aval.
L’incident a forcé le fournisseur à alterner tous les certificats de signature de code numérique avec lesquels il vérifiait les exécutables pour une gamme de produits, afin d’atténuer le risque d’utilisation abusive.