ConnectWise Perbaiki Celah Kritis pada Automate yang Bisa Disalahgunakan untuk Serangan AiTM
ConnectWise merilis pembaruan keamanan penting untuk memperbaiki dua kerentanan serius pada produk Automate, platform remote monitoring and management (RMM) yang banyak digunakan oleh Managed Service Providers (MSP) dan tim IT perusahaan besar di seluruh dunia.
Salah satu celah yang ditambal, dengan tingkat keparahan kritis (CVSS 9.6), memungkinkan terjadinya serangan Adversary-in-the-Middle (AiTM) yang dapat mengintersepsi dan memodifikasi komunikasi antar sistem.
Celah Kritis: CVE-2025-11492
Kerentanan utama, yang dilacak sebagai CVE-2025-11492, disebabkan oleh konfigurasi komunikasi plaintext antara agen dan server. Dalam kondisi tertentu, agen Automate dapat dikonfigurasi untuk menggunakan HTTP tanpa enkripsi alih-alih HTTPS.
Konfigurasi tidak aman ini membuka peluang bagi pelaku ancaman untuk mencegat atau memanipulasi lalu lintas jaringan — termasuk perintah, kredensial, serta paket pembaruan — seolah-olah berasal dari server resmi.
“Dalam lingkungan on-premise, agen dapat dikonfigurasi menggunakan HTTP atau bergantung pada enkripsi yang lemah, yang memungkinkan pihak berbahaya di jaringan melihat atau mengubah lalu lintas, termasuk mengganti pembaruan dengan versi berbahaya,” jelas ConnectWise.
Celah Tambahan: CVE-2025-11493
Kerentanan kedua, CVE-2025-11493 (dengan skor 8.8), muncul akibat tidak adanya verifikasi integritas — seperti checksum atau tanda tangan digital — pada paket pembaruan dan dependensi yang diunduh sistem.
Dengan menggabungkan kedua celah ini, penyerang dapat menyamar sebagai server ConnectWise yang sah untuk mendorong pembaruan palsu atau menanamkan malware ke ribuan perangkat klien yang dikelola melalui Automate.
Pembaruan dan Rekomendasi
ConnectWise menyebutkan bahwa instans cloud Automate telah diperbarui otomatis ke versi terbaru 2025.9, yang sudah menutup kedua celah tersebut.
Namun bagi pengguna on-premise, perusahaan menekankan agar pembaruan dipasang secepat mungkin, idealnya dalam hitungan hari, untuk menghindari potensi eksploitasi.
Meskipun belum ada bukti eksploitasi aktif, ConnectWise memperingatkan bahwa risiko penyalahgunaan di alam liar tergolong tinggi, terutama karena sistem Automate biasanya memiliki akses tingkat tinggi ke ribuan endpoint pelanggan.
Riwayat Serangan pada Produk ConnectWise
Kerentanan kritis pada produk ConnectWise bukan hal baru. Awal tahun ini, aktor negara sempat menembus jaringan internal perusahaan, memengaruhi sejumlah pelanggan ScreenConnect di hilir.
Sebagai langkah mitigasi, ConnectWise terpaksa memutar ulang seluruh sertifikat penandatanganan kode digital yang digunakan untuk memverifikasi keaslian file eksekusi di berbagai produknya.
Peristiwa ini menyoroti pentingnya pengamanan ekstra pada platform RMM — yang, karena hak akses luasnya, sering menjadi target utama bagi pelaku kejahatan siber.
Sumber: BleepingComputer
