ConnectWise đã phát hành bản cập nhật bảo mật quan trọng cho nền tảng Automate™ sau khi phát hiện các lỗ hổng CVE cho phép kẻ tấn công chặn và giả mạo các bản cập nhật phần mềm.

Các lỗ hổng này ảnh hưởng đến các cài đặt tại chỗ được cấu hình để sử dụng kênh giao tiếp không an toàn, khiến các tổ chức đối mặt với rủi ro bảo mật nghiêm trọng do triển khai mã độc hại dưới dạng các bản vá thông thường.

Phân Tích Các Lỗ Hổng CVE Nghiêm Trọng Ảnh Hưởng Đến ConnectWise Automate

Các lỗ hổng này xuất hiện trong một số triển khai của ConnectWise Automate, nơi các tác nhân (agents) được phép giao tiếp với máy chủ qua HTTP không được mã hóa hoặc dựa vào cài đặt mã hóa yếu hơn.

Cấu hình này khiến lưu lượng truy cập nhạy cảm bị phơi nhiễm trước các đối thủ dựa trên mạng, những kẻ có thể đọc và thay đổi dữ liệu trong quá trình truyền tải.

Bằng cách khai thác các lỗ hổng CVE này, kẻ tấn công có thể chèn các payload độc hại vào quy trình cập nhật, khiến các tác nhân bị xâm phạm cài đặt phần mềm trái phép mà vẫn trông có vẻ hợp pháp.

Nguy cơ đặc biệt cao đối với các môi trường mà máy chủ đặt tại chỗ không được cấu hình để thực thi TLS 1.2 hoặc cao hơn, khiến giao tiếp tác nhân dễ bị chặn và sửa đổi.

Chi tiết Kỹ thuật về các CVE

Có hai lỗ hổng CVE riêng biệt tạo nên rủi ro này:

• CVE-2025-11492: Đây là lỗ hổng truyền dữ liệu dưới dạng cleartext (rõ ràng). Nó cho phép tiết lộ và sửa đổi dữ liệu hoàn toàn khi giao tiếp không được mã hóa.
• CVE-2025-11493: Lỗ hổng về tính toàn vẹn của dữ liệu. Vấn đề này cho phép cài đặt mã trái phép, ngay cả khi đã có mã hóa, do quy trình kiểm tra tính toàn vẹn không đủ mạnh.

Cả hai vấn đề đều nhận được điểm CVSS 3.1 cao, phản ánh tác động nghiêm trọng mà một mạng bị kẻ tấn công kiểm soát có thể gây ra đối với tính bảo mật, toàn vẹn và khả dụng của các giao tiếp tác nhân.

Giải Pháp và Bản Vá Bảo Mật ConnectWise Automate 2025.9

ConnectWise Automate 2025.9, phát hành vào ngày 16 tháng 10 năm 2025, đã giải quyết triệt để các điểm yếu này bằng cách thực thi HTTPS cho tất cả các giao tiếp của tác nhân.

Bản cập nhật này triển khai các kết nối HTTPS bắt buộc cho tất cả lưu lượng tác nhân, đóng cánh cửa cho việc chặn dữ liệu dưới dạng cleartext và loại bỏ các lỗ hổng CVE đã được xác định.

Các đối tác đang vận hành các cài đặt tại chỗ phải xác minh rằng máy chủ của họ từ chối giao thức HTTP và thực thi TLS 1.2 hoặc phiên bản mới hơn. Các phiên bản được lưu trữ trên đám mây đã nhận được bản cập nhật này, đảm bảo phân phối an toàn các bản vá trong tương lai.

Để biết thêm chi tiết về bản vá bảo mật này, tham khảo thông báo bảo mật chính thức của ConnectWise: ConnectWise Automate 2025.9 Security Fix.

Hướng Dẫn Triển Khai và Các Bước Khuyến Nghị Sau Cập Nhật

Các quản trị viên đang chạy các phiên bản bị ảnh hưởng trước 2025.9 nên áp dụng bản phát hành mới ngay lập tức để ngăn chặn khai thác các lỗ hổng CVE đã biết và các nguy cơ liên quan.

Các tổ chức sử dụng máy chủ đặt tại chỗ nên tải xuống và cài đặt ConnectWise Automate 2025.9 mà không chậm trễ để khắc phục triệt để các lỗ hổng CVE này, bảo vệ hạ tầng khỏi các mối đe dọa tiềm ẩn.

Sau khi cập nhật, điều quan trọng là phải xác nhận rằng các kết nối từ tác nhân đến máy chủ yêu cầu HTTPS và TLS 1.2 được thực thi.

Để biết hướng dẫn chi tiết về quá trình triển khai và cấu hình, hãy tham khảo ghi chú phát hành chính thức: ConnectWise Automate Release Notes 2025.9.

Bằng cách nhanh chóng áp dụng bản vá bảo mật và tăng cường mã hóa truyền tải, khách hàng của ConnectWise có thể bảo vệ chống lại việc phân phối bản cập nhật độc hại và bảo vệ cơ sở hạ tầng quản lý tự động của họ khỏi các lỗ hổng CVE và các mối đe dọa mới nổi.