ConnectWise, 16 Ekim 2025’te Automate platformu için kritik bir güvenlik güncellemesi yayınladı. 2025.9 sürümündeki yama, saldırganların hassas verileri ele geçirmesine veya kötü amaçlı yazılım güncellemelerini göndermesine olanak verebilecek ajan iletişimlerindeki ciddi kusurları gideriyor.
Bu güvenlik açıkları öncelikle şirket içi kurulumları etkiler; burada yanlış yapılandırmalar, sistemleri ağ tabanlı güvenlik açıklarından yararlanmaya maruz bırakabilir.
Sorunlar, aracıların şifrelenmemiş HTTP trafiğine veya güncel olmayan şifreleme protokollerine güvendiği ortamlardan kaynaklanmaktadır.
Yakındaki bir düşman, belki de aynı yerel ağda, iletimleri gizlice dinleyebilir veya güncelleme indirmelerine müdahale edebilir, bu da potansiyel olarak veri ihlallerine veya tüm sistemin tehlikeye atılmasına yol açabilir.
ConnectWise, kusurları ciddiyet açısından “Önemli” olarak sınıflandırdı ve orta öncelik derecesi 2 oldu; bu, hemen felaket olmasa da, gerçek dünyada hedefleme riski nedeniyle hızlı eylem gerektirdiğinin sinyalini verdi.
ConnectWise Güvenlik Açıkları
Güncellemenin merkezinde, aşağıda teknik özelliklerinin dökümüyle açıklanan iki özel güvenlik açığı bulunmaktadır. Her ikisi de bitişik ağ erişimi gerektirir ancak kullanıcı etkileşimi olmadan yüksek etkili saldırılara olanak sağlayabilir.
| CVE Kimliği | CWE Kimliği | Tanım | Taban Puan | Vektör (CVSS:3.1) |
|---|---|---|---|---|
| CVE-2025-11492 | CWE-319 | Hassas Bilgilerin Açık Metin İletimi | 9.6 | Av: a/ac: l/pr: n/ui: n/s: c/c: h/i: h/a: h |
| CVE-2025-11493 | CWE-494 | Bütünlük Kontrolü Olmadan Kodun İndirilmesi | 8.8 | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
İlk CVE, hassas aracı verilerinin düz metin olarak iletilmesini ve kapsamı genişleyen bir saldırı yüzeyinde kimlik bilgilerini veya operasyonel ayrıntıları sızdırma potansiyeli açısından mükemmele yakın bir puan almayı içerir.
İkinci kusur, bütünlüğü doğrulamadan kod indirmeye izin veriyor ve saldırganların yasal güncellemeleri kötü amaçlı yazılımlarla değiştirmesine kapı açıyor.
Etkilenen sürümler, uzaktan yönetim için ConnectWise Automate’i kullanan binlerce BT hizmet sağlayıcısını etkileyen 2025.9’dan önceki tüm sürümleri içermektedir.
İyileştirme basit ama acildir. Bulutta barındırılan örnekler için ConnectWise, 2025.9 güncellemesini otomatik olarak kullanıma sunarak minimum düzeyde kesinti sağladı.
Şirket içi kullanıcıların, tüm aracı etkileşimleri için HTTPS’yi zorlayan ve sürüm düşürme saldırılarını önlemek için TLS 1.2’nin etkinleştirilmesini öneren yamayı manuel olarak uygulaması gerekir.
Güvenlik uzmanları, özellikle tehlikeye atılan bir aracının istemci ağları arasında yayılabileceği çok kiracılı kurulumlarda, derhal uyumluluğu teşvik ediyor.
Bu sürüm, uç nokta yönetimi güvenliğinde devam eden kedi-fare oyununun altını çiziyor. Uzaktan çalışma devam ettikçe ConnectWise Automate gibi araçlar tedarik zinciri tarzı saldırıların ana hedefi olmaya devam ediyor.
Kuruluşlar, şifrelenmiş kanalları doğrulamak ve anormal trafiği izlemek için güncelleme sonrasında yapılandırmalarını denetlemelidir. Açıkların yakında ortaya çıkma potansiyeli olduğundan, düzeltmenin geciktirilmesi, zaten istikrarsız olan tehdit ortamında gereksiz risklerin ortaya çıkmasına neden olabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
