Zoho ManageEngine: Kritische Sicherheitslücke in ADSelfService Plus

Zoho warnt vor einer kritischen Sicherheitslücke in ManageEngine ADSelfService Plus. Angreifer könnten Code aus dem Netz einschleusen und ausführen.

In einer Sicherheitswarnung erläutert Zoho, dass authentifizierte Angreifer aus der Ferne in der Load-Balancer-Komponente von ManageEngine ADSelfService Plus Code einschleusen und ausführen können. Das betreffe alle ADSelfService Plus-Installationen, losgelöst von der Load-Balancer-Konfiguration; sie sind allesamt verwundbar.

Zoho ManageEngine ADSelfService Plus: Risikoeinstufung der Schwachstelle

In der Sicherheitswarnung stuft Zoho den Schweregrad der Schwachstelle als "hoch" ein. Der Eintrag beim NIST zur Lücke CVE-2024-0252 erhält jedoch einen CVSS-Wert von 9.8, was einem kritischen Risiko entspricht.

Betroffen sind Zoho ManageEngine AdSelfService Plus Builds 6401 und älter. Die bereitgestellte Fassung 6402 soll die Sicherheitslücke stopfen. Die Servicepacks stehen auf einer eigenen Download-Seite bereit. Wer noch ältere Builds nutzt, muss sich der Beschreibung nach schrittweise auf den aktuellen Stand emporarbeiten. Außerdem empfiehlt Zoho, vor dem Anwenden des Servicepacks ein Backup anzufertigen.

Schwachstellen in Zoho ManageEngine-Produkten werden öfter von bösartigen Akteuren angegriffen. Etwa im Februar vergangenen Jahres haben Cyberkriminelle nach der Veröffentlichung eines Proof-of-Concept-Exploits versucht, eine kritische Sicherheitslücke anzugreifen. Damals seien zwischen 2000 und 4000 verwundbarer Server im Netz erreichbar gewesen. Da jedoch eine spezielle Konfigurationsoption aktiviert sein musste, ließ sich die Lücke nur bei einer kleineren Anzahl betroffener Systme missbrauchen.

Zuletzt fielen Sicherheitslücken in Zoho ManageEngine-Produkten Mitte vergangenen Jahres auf. Dadurch ließ sich die Mehrfaktorauthentifizierung darin umgehen.

(dmk)