CVE-2025-11492 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ConnectWise Automate Agent 配置不当，强制或允许使用 **HTTP** 明文协议通信。 🔥 **后果**：通信链路无加密，导致 **中间人攻击 (MitM)**。攻击者可 **拦截、修改或重放** 流量，甚至实现 **远程代码执行 (RCE)**。

🔍 **CWE ID**：**CWE-319** (Cleartext Transmission of Sensitive Information)。 🛠️ **缺陷点**：**HTTP 传输** 且 **缺乏加密验证**。配置未强制 HTTPS，导致数据裸奔。

🏢 **厂商**：**ConnectWise**。 💻 **产品**：**Automate Agent** (远程监控与管理软件 RMM)。 📅 **发布时间**：2025-10-16。

👑 **权限**：攻击者可获得 **完全控制** (CVSS A:H)。 📂 **数据**：敏感信息 **完全泄露** (CVSS C:H)。 📝 **完整性**：数据/系统被 **任意篡改** (CVSS I:H)。 💥 **综合**：CVSS 评分极高，影响范围 **S:C** (影响其他组件)。

🚪 **利用门槛**：**低**。 🔑 **认证**：**PR:N** (无需认证)。 🖱️ **交互**：**UI:N** (无需用户交互)。 🌐 **攻击向量**：**AV:A** (相邻网络，通常指内网或中间人位置)。

💻 **PoC 状态**：**已有代码**。 🔗 **来源**：GitHub 上有 Writeup 和 Exploit 代码 (synap5e/connectwise-automate-AiTM-rce)。 ⚔️ **技术**：利用 **Adversary-in-the-Middle (AiTM)** 实现 RCE。

🔎 **自查特征**：检查 Automate Agent 配置是否允许 **HTTP** 连接。 📡 **扫描重点**：监测是否有未加密的 Agent 通信流量。 📋 **配置审计**：确认是否强制启用了 **HTTPS/TLS** 加密通道。

🛡️ **官方修复**：**已发布安全公告**。 📄 **链接**：ConnectWise Trust Security Bulletins (2025.9 Security Fix)。 ✅ **建议**：立即查阅官方公告并应用 **2025.9** 及之后的安全补丁。

⚠️ **临时规避**： 1. **强制 HTTPS**：在配置中禁用 HTTP，仅允许加密连接。 2. **网络隔离**：限制 Agent 与服务器间的网络访问。 3. **流量监控**：部署 IDS/IPS 检测异常 HTTP 流量。

🔥 **优先级**：**极高 (Critical)**。 🚨 **理由**：CVSS 满分风险，**无需认证**，**已有 PoC**，可导致 **RCE**。 ⏳ **行动**：**立即** 升级补丁或实施缓解措施，切勿拖延！