Selon BleepingComputer, ConnectWise a diffusé une mise à jour de sécurité visant à corriger plusieurs vulnérabilités dans son produit Automate, dont une classée critique.
️ ConnectWise corrige deux failles critiques dans Automate exposant les communications à l’interception
L’éditeur ConnectWise a publié une mise à jour de sécurité pour son outil Automate, une plateforme de supervision et de gestion à distance (RMM) utilisée par les MSP et services informatiques d’entreprises. Deux vulnérabilités, dont une jugée critique (CVE-2025-11492, score 9.6), pouvaient permettre l’interception ou la modification de communications sensibles.
Le premier défaut provenait d’une mauvaise configuration autorisant l’usage du protocole HTTP non chiffré au lieu du HTTPS. Un attaquant positionné sur le réseau pouvait ainsi intercepter ou altérer le trafic, notamment des commandes, identifiants ou fichiers de mise à jour, par le biais d’attaques de type adversary-in-the-middle (AitM).
La seconde faille, CVE-2025-11493 (score 8.8), concernait l’absence de vérification d’intégrité ou de signature numérique pour les paquets de mise à jour et leurs dépendances. Combinées, ces deux vulnérabilités permettaient potentiellement à un attaquant d’injecter des mises à jour malveillantes en se faisant passer pour un serveur ConnectWise légitime.
ConnectWise indique que les instances cloud ont déjà été mises à jour vers Automate 2025.9, mais exhorte les administrateurs d’environnements on-premise à appliquer la mise à jour sans délai. Bien qu’aucune exploitation active n’ait été signalée, l’éditeur avertit que ces failles présentent un risque élevé d’exploitation prochaine.
L’entreprise rappelle que ses produits ont déjà été visés par des campagnes d’attaques, notamment en début d’année lorsqu’un acteur étatique avait compromis son environnement, affectant plusieurs clients de ScreenConnect. ConnectWise avait alors procédé à un renouvellement complet de ses certificats de signature de code pour prévenir tout détournement futur.
Source : ConnectWise / BleepingComputer – octobre 2025
L’information met en avant le risque de compromission de la confidentialité et de l’intégrité des échanges transitant via Automate, corrigé par le dernier correctif publié par ConnectWise.
Il s’agit d’un article de type patch de sécurité, dont l’objectif principal est d’informer de la disponibilité d’une mise à jour corrigeant des vulnérabilités dans un produit logiciel.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/connectwise-fixes-automate-bug-allowing-aitm-update-attacks/