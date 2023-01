Sicherheitsforscher von Horizon3 haben weiterführende Informationen zu einer vom Softwarehersteller Zoho "kritisch" eingestuften Sicherheitslücke in verschiedenen ManageEngine-Produkten veröffentlicht. Zeitnah wollen sie noch Proof-of-Concept-Code veröffentlichen. Angreifer könnten sich das zunutze machen und Attacken starten. Sicherheitspatches stehen zum Download bereit.

In einer Warnmeldung listet Zoho die betroffenen Produkte und die gegen die Attacken abgesicherten Versionen auf. Darunter sind beispielsweise ADAudit Plus, Endpoint Central und SupportCenter Plus. Da die Produkte oft an zentralen Stellen in Unternehmen zum Einsatz kommen, sind sie beliebte Anknüpfungspunkte für Angreifer.

Details zur Schwachstelle

Angreifer können aber nur an der Lücke (CVE-2022-47966) ansetzen, wenn die Authentifizierungslösung SAML zum Einsatz kommt. Dem Bericht der Sicherheitsforscher zufolge ist das bei einigen Produkten nur der Fall, wenn die Funktion aktiv. Bei anderen Produkten reicht es wohl aus, wenn die Funktion in der Vergangenheit mal aktiv war.

Um Attacken einzuleiten, müssten Angreifer präparierte SAML-Anfragen mit einer ungültigen Signatur an verwundbare Instanzen schicken. Ein Angriff soll vergleichsweise einfach sein, führen die Forscher aus. Klappt der Übergriff, könnten Angreifer Schadcode auf Systemebene ausführen. An dieser Stelle könnten sie unter anderem Zugangsdaten auslesen und sich weiter im Netzwerk ausbreiten (lateral movement).

Im Zuge ihrer Untersuchungen sind sie auf 5255 Instanzen von ServiceDesk Plus gestoßen, die über das Internet erreichbar sind. 509 sollen SAML eingeschaltet haben. Von Endpoint Central sind 3105 öffentlich erreichbar und bei 345 ist SAML aktiv.

(des)