Zohocorp warnt vor einer Schwachstelle in ManageEngine Applications Manager. Angreifer können sich Admin-Rechte verschaffen.

In Zoho ManageEngine Applications Manager gefährdet eine Sicherheitslücke die betroffenen Installationen. Bösartige Akteure können dadurch ihre Rechte ausweiten und weiteren Schaden anrichten.

In einer Sicherheitsmitteilung erklärt Zohocorp, dass eine “vertikale Rechteausweitungsschwachstelle” in ManageEngine Applications Manager vorliegt. Ein delegierter Admin kann ohne Autorisierung Admin-Zugriff durch Veränderung der User-Group-Parameter erlangen. Dies erfolge durch die API, die Nutzerprofile aktualisieren kann (CVE-2024-41140, CVSS 8.1, Risiko “hoch“).

Der Sicherheitsmitteilung zufolge stellt Zohocorp bereits seit Anfang Januar aktualisierte Software bereit, die dieses Sicherheitsleck abdichtet. Die Veröffentlichung der Informationen zum CVE-Eintrag CVE-2024-41140 erfolgte jedoch erst Mitte dieser Woche. Betroffen ist demnach ManageEngine Applications Manager bis einschließlich der Version v173900. Die Schwachstelle haben die Entwickler hingegen in den Versionen 170008 bis 170099, 173303 bis 173399 sowie 174000 und neueren Fassungen ausgebessert.

Auf der Zohocorp-Webseite stehen die Service-Packs zum Abdichten der Lücke zum Herunterladen bereit. Da die Schwachstelle vom Hersteller als hochriskant eingestuft wird, sollten IT-Verantwortliche mit der Aktualisierung nicht warten, sondern sie zeitnah durchführen. Cyberkriminelle greifen Schwachstellen in Zoho ManageEngine-Software öfter an. Etwa nach Veröffentlichung eines Proof-of-Concept-Exploits durch ein IT-Sicherheitsunternehmen erfolgten rasch Attacken auf Schwachstelle CVE-2022-47966 in 24 Produkten aus der Palette.

Im November mussten IT-Verantwortliche aktiv werden, die Zoho ManageEngine ADManager Plus einsetzen. Damals konnten Angreifer aufgrund einer darin klaffenden Sicherheitslücke SQL-Befehle einschleusen und unbefugten Zugriff erlangen.