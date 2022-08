In der Netzwerk-Überwachungs-Software Zoho ManageEngine OpManager klaffen Sicherheitslücken, durch die Angreifer unbefugt zugreifen oder Code einschleusen könnten. Die Entwickler des Herstellers haben fehlerbereinigte Software bereitgestellt, die die Lecks schließt.

Zugriff für alle

In der Monitoring-Software führt ein unzureichender Mechanismus zum Umgang mit Anfragen dazu, dass nicht authentifizierte Nutzer Zugriff auf einen Nutzer-API-Schlüssel erhalten können. Dadurch hätten Angreifer ohne Authentifizierung gültige Nutzer-API-Schlüssel erhalten und auf die externen APIs zugreifen können (CVE-2022-36923, CVSS steht noch aus, Risiko "kritisch").

Laut Sicherheitsmeldung von Zoho sind davon ManageEngine OpManager, OpManager Plus, OpManager MSP, Network Configuration Manager, NetFlow Analyzer, Firewall Analyzer sowie OpUtils betroffen. Die aktualisierten Versionsstände findet sich in der Meldung.

Eine weitere Schwachstelle bestand darin, dass alle angemeldeten Nutzer Änderungen an der Datenbank vornehmen und dadurch beliebigen Code einschleusen und ausführen konnte (CVE-2022-37024, CVSS steht noch aus, Risiko "hoch"). In der Sicherheitsmeldung erläutert Zoho, welcher Versionsstand für welchen Software-Zweig die Lücke schließt. Betroffen sind davon Zoho ManageEngine OpManager, OpManager Plus, OpManager MSP, Network Configuration Manager, NetFlow Analyzer und OpUtils.

Administratoren sollten die bereitstehenden Aktualisierungen zügig anwenden, um nicht Opfer von Angriffen zu werden. Sicherheitslücken in Zoho-Software stehen bei Cyberkriminellen hoch im Kurs und werden oftmals rasch nach Bekanntwerden angegriffen.

(dmk)