ConnectWise, saldırganların yazılım güncellemelerine müdahale etmesine ve kurcalamasına olanak verebilecek güvenlik açıklarını ortaya çıkardıktan sonra Automate™ platformu için kritik bir güvenlik güncellemesi yayınladı.
Güvenli olmayan iletişim kanallarını kullanacak şekilde yapılandırılmış şirket içi kurulumlarda bulunan kusurlar, kuruluşları rutin yamalar kisvesi altında kötü amaçlı kod dağıtma riskiyle karşı karşıya bırakıyor.
16 Ekim 2025’te yayımlanan ConnectWise Automate 2025.9, tüm aracı iletişimleri için HTTPS’yi zorunlu kılarak bu zayıflıkları giderir.
Güvenli Olmayan Kanallar Kritik İletişimleri Açığa Çıkarıyor
ConnectWise Automate’in bazı dağıtımlarında aracıların sunucuyla düz HTTP üzerinden iletişim kurmasına veya daha zayıf şifreleme ayarlarını kullanmasına izin verildi.
Bu yapılandırma, hassas trafiği, aktarım halindeki verileri hem okuyabilen hem de değiştirebilen ağ tabanlı saldırganların eline geçirdi.
Saldırganlar, kusurlardan yararlanarak güncelleme sürecine kötü amaçlı yükler ekleyebilir ve güvenliği ihlal edilmiş aracıların yasal görünen yetkisiz yazılımlar yüklemesine neden olabilir.
Risk, şirket içi sunucuların TLS 1.2 veya üstünü zorunlu kılacak şekilde yapılandırılmadığı ve aracı iletişimlerinin müdahaleye ve değişikliğe karşı savunmasız kaldığı ortamlar için özellikle yüksektir.
Riskin altında iki farklı güvenlik açığı yatmaktadır:
| CVE | CWE Kimliği | Tanım | Taban Puan | Vektör |
| CVE-2025-11492 | CWE-319 | Hassas Bilgilerin Açık Metin İletimi | 9.6 | CVSS:3.1/AV:A/AC:N/UI:N/IU:C:H/I:H/A:H/A:H |
| CVE-2025-11493 | CWE-494 | Bütünlük Kontrolü Olmadan Kodun İndirilmesi | 8.8 | CVSS: 3.1/AV: a/ac: l/pr: n/ui: n/s: u/c: h/i: h/a: h |
Her iki sorun da yüksek CVSS 3.1 puanları aldı; bu, saldırgan tarafından kontrol edilen bir ağın, aracı iletişimlerinin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde yaratabileceği ciddi etkiyi yansıtıyor.
Açık metin aktarım kusuru (CVE-2025-11492), verilerin eksiksiz olarak ifşa edilmesine ve değiştirilmesine izin verirken, bütünlük boşluğu (CVE-2025-11493), şifreleme mevcutken bile yetkisiz kodun yüklenmesine olanak tanır.
ConnectWise Automate 2025.9, tüm aracı trafiği için zorunlu HTTPS bağlantılarını uygulayarak düz metin müdahalesine yönelik pencereyi kapatır.
Şirket içinde faaliyet gösteren iş ortakları, sunucularının HTTP’yi reddettiğini ve TLS 1,2 veya daha yenisini uyguladığını doğrulamalıdır. Bulutta barındırılan örnekler güncellemeyi zaten almıştır ve bu da gelecekteki yamaların güvenli bir şekilde teslim edilmesini sağlar.
Etkilenen sürümleri 2025.9’dan önce çalıştıran yöneticilerin, kötüye kullanımı önlemek için yeni sürümü hemen uygulaması gerekir.
Şirket içi sunucuları kullanan kuruluşlar, ConnectWise Automate 2025.9’u gecikmeden indirip yüklemelidir.
Güncellemeden sonra, ajandan sunucuya bağlantıların HTTPS gerektirdiğini ve TLS 1.2’nin zorunlu kılındığını doğrulayın. Ayrıntılı talimatlar için resmi sürüm notlarına bakın: ConnectWise Automate Sürüm Notları 2025.9.
ConnectWise müşterileri, güvenlik düzeltmesini derhal uygulayarak ve aktarım şifrelemesini güçlendirerek, kötü amaçlı güncelleme dağıtımlarına karşı koruma sağlayabilir ve otomatik yönetim altyapılarını ortaya çıkan tehditlerden koruyabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.