ConnectWise ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ในผลิตภัณฑ์ Automate ซึ่งหนึ่งในนั้นมีความรุนแรงระดับ Critical โดยช่องโหว่นี้อาจทำให้การเชื่อมต่อที่สำคัญถูก intercept และแก้ไขเปลี่ยนแปลงได้
ConnectWise Automate เป็นแพลตฟอร์ม remote monitoring and management (RMM) ที่ใช้โดยผู้ให้บริการ managed service providers (MSPs), บริษัทผู้ให้บริการด้านไอที และแผนกไอทีภายในขององค์กรขนาดใหญ่
ในการใช้งานทั่วไป มันทำหน้าที่เป็นศูนย์กลาง management hub ที่มีสิทธิ์ระดับสูงในการควบคุมเครื่อง client หลายพันเครื่อง
ช่องโหว่ที่รุนแรงที่สุดที่ผู้พัฒนาได้แก้ไขมีหมายเลข CVE-2025-11492 ด้วยคะแนนความรุนแรง 9.6 ช่องโหว่ดังกล่าวอาจทำให้มีการส่งข้อมูลสำคัญเป็น cleartext ได้
โดยเฉพาะ agents อาจถูกตั้งค่าให้เชื่อมต่อผ่าน HTTP ที่ไม่ปลอดภัย แทนที่จะเป็น HTTPS ที่มีการเข้ารหัส ซึ่งอาจถูกนำไปใช้ประโยชน์ในการโจมตีแบบ adversary-in-the-middle (AitM) เพื่อ intercept หรือแก้ไขข้อมูล traffic รวมถึงคำสั่ง, ข้อมูล credentials และการ update payloads ได้
"ConnectWise ระบุว่า 'Environments แบบ on-premise ตัว agents อาจถูกกำหนดค่าให้ใช้ HTTP หรือขึ้นอยู่กับการ encryption ซึ่งอาจทำให้ผู้ไม่หวังดีที่อยู่ภายในเครือข่ายสามารถดู หรือแก้ไขข้อมูล traffic หรือสับเปลี่ยนการอัปเดตที่เป็นอันตรายแทนได้'"
ช่องโหว่ที่สองถูกระบุหมายเลข CVE-2025-11493 (คะแนนความรุนแรง 8.8) คือช่องโหว่การขาดการตรวจสอบ integrity (checksum หรือ digital signature) สำหรับแพ็คเกจการอัปเดต รวมถึงไฟล์ไลบรารีที่เกี่ยวข้อง และการเชื่อมต่อส่วนอื่น ๆ
ด้วยการรวมช่องโหว่ความปลอดภัยทั้งสองรายการนี้เข้าด้วยกัน ผู้โจมตีสามารถ push ไฟล์ที่เป็นอันตราย (เช่น มัลแวร์, ไฟล์อัปเดต) ให้ดูเหมือนเป็นไฟล์ที่ถูกต้องปกติ โดยการปลอมตัวเป็นเซิร์ฟเวอร์ ConnectWise
ConnectWise ระบุว่า อัปเดตความปลอดภัยครั้งนี้มีความสำคัญในระดับปานกลาง บริษัทได้แก้ไขช่องโหว่ทั้งสองรายการสำหรับ instances ที่อยู่บนคลาวด์แล้ว ซึ่งได้รับการอัปเดตเป็น Automate เวอร์ชันล่าสุด 2025.9
คำแนะนำของผู้พัฒนา สำหรับผู้ดูแลระบบที่ใช้งานแบบ on-premise คือให้ดำเนินการ และติดตั้งเวอร์ชันใหม่โดยเร็วที่สุด
แถลงการณ์ความปลอดภัยไม่ได้ระบุถึงการโจมตีที่เกิดขึ้นจริง แต่เตือนว่าช่องโหว่เหล่านี้มีความเสี่ยงสูงที่จะถูกโจมตีในวงกว้าง
ในอดีต ผู้ไม่หวังดีเคยใช้การโจมตีจากช่องโหว่ที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์ของ ConnectWise มาแล้ว เมื่อต้นปีที่ผ่านมา กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล ได้แอบโจมตีเข้าระบบของบริษัทโดยตรง ซึ่งการโจมตีนี้ส่งผลกระทบต่อลูกค้า ScreenConnect จำนวนหนึ่งด้วย
เหตุการณ์ดังกล่าวบังคับให้ผู้พัฒนาต้อง rotate digital code signing certificates ทั้งหมด ที่ใช้ในการตรวจสอบไฟล์โปรแกรมสำหรับผลิตภัณฑ์หลายรายการ เพื่อลดความเสี่ยงจากการถูกนำไปใช้ในการโจมตี
ที่มา : bleepingcomputer
You must be logged in to post a comment.