Zero-Day-Angriff durch Zoho-Schwachstelle

Die CISA (Cybersecurity & Infrasctructure Security Agency) warnt, dass eine Schwachstelle, die Zoho ManageEngine ADSelfService Plus Build 6113 und niedriger (CVE-2021-40539) betrifft, bei Exploits in der Praxis entdeckt und genutzt wurde. Zoho hat diese Schwachstelle nun gepatcht.

Satnam Narang, Staff Research Engineer bei Tenable, bietet die folgende Analyse an:

Zoho hat eine Sicherheitsempfehlung veröffentlicht, um eine kritische Sicherheitsanfälligkeit zur Umgehung der Authentifizierung in seiner Lösung ADSelfService Plus zu beheben, die in der Praxis als Zero-Day-Angriff ausgenutzt wurde. Ein nicht authentifizierter Remote-Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Anfrage an die anfällige REST-API  URL-Endpunkte sendet. Eine erfolgreiche Ausnutzung würde zu einer Remote-Codeausführung führen.

Da ADSelfService Plus eine Self-Service-Passwortverwaltungs- und Single-Sign-On-Lösung für Active Directory und Cloud-Apps ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, diese nutzen, um weiter in ein Unternehmen einzudringen. Derzeit deuten einige Untersuchungen zu ZoomEye darauf hin, dass in den letzten Jahren über 2.000 ADSelfService Plus-Systeme öffentlich zugänglich waren, darunter über 700 in den USA, 251 in Großbritannien und viele mehr in anderen Ländern innerhalb und außerhalb Europas.