遠端監控和管理 (RMM) 平台業者ConnectWise 發布了安全性更新來修復 Automate產品中的漏洞，其中一個漏洞嚴重程度極高，可能會使敏感通訊遭到攔截和修改。安全公告並未提及主動利用，但警告稱，這些漏洞「更有可能被野外利用」。威脅行為者過去曾利用 ConnectWise 產品中的嚴重漏洞。今年早些時候，國家安全威脅者直接入侵了該公司的環境，這次攻擊影響了下游眾多 ScreenConnect 客戶。

此供應商修復的最嚴重漏洞編號為 CVE-2025-11492，此漏洞的嚴重等級為 9.6，允許以明文形式傳輸敏感資訊。具體來說，可以將代理程式配置為透過不安全的 HTTP 而不是加密的 HTTPS 進行通信，這可能會被中間人 (AitM) 攻擊利用來攔截或修改流量，包括命令、憑證和更新有效負載。

ConnectWise Automate作為一套被廣泛使用的RMM平台，在企業的IT管理和託管服務提供商（MSP）的運營中扮演著核心角色。該平台一旦遭到破壞，將直接影響數以千計的終端客戶網路，構成嚴重的供應鏈安全風險。

CVE-2025-11492漏洞的危險性在於，它允許Automate代理程式被設定透過不加密的HTTP協議進行敏感通訊。在任何可能受到監聽的網路環境中（例如公共Wi-Fi、受到駭客滲透的企業網路邊界），這種明文傳輸使得傳輸中的敏感資料（如管理命令、用戶憑證、系統配置，甚至是用於軟體更新的惡意Payload）極易遭到攔截和竊取。

更為關鍵的是，中間人（AitM）攻擊者可以不僅僅是被動監聽，他們可以主動修改傳輸中的流量。這意味著駭客可以攔截合法的軟體更新請求，並替換為惡意的軟體更新有效負載，從而在不被察覺的情況下，將惡意程式植入到RMM客戶的眾多受控端點設備上。這種攻擊方式對企業數據的機密性、完整性和系統的可用性都構成了毀滅性的威脅。

鑑於ConnectWise產品過去曾被國家級駭客和高階威脅行為者積極鎖定和利用，儘管安全公告未提及當前有主動利用的證據，但高達9.6的嚴重等級和「更有可能被野外利用」的警告，要求所有使用Automate的企業和MSP必須將修補工作列為極高優先級。企業必須立即安裝F5發布的安全更新，並審核所有代理程式配置，確保其強制使用安全的HTTPS協議進行通信，以消除AitM攻擊的風險，從根本上鞏固其供應鏈的防禦邊界。

資料來源：https://www.bleepingcomputer.com/news/security/connectwise-fixes-automate-bug-allowing-aitm-update-attacks/