ConnectWise ha publicado una actualización urgente para su producto Automate para corregir dos vulnerabilidades severas que, al combinarse, permiten a un atacante interceptar y modificar comunicaciones de agentes, e incluso reemplazar actualizaciones legítimas por código malicioso. La empresa advierte que ambas fallas presentan un “riesgo alto de ser atacadas en entornos reales”.
Vulnerabilidades Críticas en ConnectWise Automate
Las fallas se centran en la falta de cifrado y verificación de integridad en las comunicaciones críticas entre el servidor y los agentes gestionados.
CVE-2025-11492: Permite ataques AiTM (Adversary-in-the-Middle), donde el atacante ve, altera comandos, o inyecta cargas útiles maliciosas en el tráfico del agente.
CVE-2025-11493: Facilita que un atacante, tras interceptar el tráfico, sustituya paquetes de actualización por versiones maliciosas sin que el cliente las detecte como alteradas.
Riesgo mayor en entornos locales: ConnectWise ha corregido las instancias en la nube (versión 2025.9), pero los entornos locales (on-premises) permanecen en riesgo hasta que el operador aplique el parche.
Combinación Letal: La interceptación del tráfico (CVE-2025-11492) sumada a la falta de verificación de integridad (CVE-2025-11493) permite a un atacante empotrar malware en los sistemas gestionados a través de un canal de actualización que se supone es seguro.
Recomendaciones
- Actualización Inmediata (Prioridad Crítica)
- Parchear Automate: Identificar todas las instancias de Automate (tanto en la nube como local) y actualizar a la versión 2025.9 o equivalente, que incluye las correcciones para ambas CVE.
- No Esperar: Priorizar el parche en agentes críticos y ambientes sensibles debido al alto riesgo de explotación.
- Forzar Uso de Cifrado y Seguros
- HTTPS Obligatorio: Asegurarse de que todas las comunicaciones entre agentes y servidores utilicen HTTPS (TLS) y rechazar cualquier conexión insegura o en texto claro. Revisar configuraciones heredadas que puedan permitir HTTP.
- Verificación de Integridad: Configurar el sistema para que exija firmas digitales o sumas de verificación validadas para todas las actualizaciones y paquetes enviados. El proceso de actualización debe validar que el contenido no ha sido modificado.
- Monitoreo y Segmentación de Red
- Monitoreo de Tráfico: Establecer alertas de seguridad para detectar tráfico sospechoso entre agentes y servidor (ej., desviaciones de rutas, proxies desconocidos, o intentos de man-in-the-middle – AiTM).
- Aislamiento de Gestión: Aislar el tráfico de gestión/monitorización para que no pase por redes inseguras o intermediarias. Limitar el acceso al servidor Automatizar solo desde redes confiables. Usar VPN o túneles seguros para agentes en ubicaciones remotas.
