Deutschland
 

CISA-Warnung

Schwachstelle in Zoho ManageEngine bedroht Sicherheit von Unternehmen

Bedrohungsakteure können ungepatchte ManageEngine-Instanzen ausnutzen. Die CISA hat die Schwachstelle in ihren Katalog aufgenommen und Zoho empfiehlt seinen Kunden dringend, ihre Installationen zu überprüfen.
Von 
CSO | 28. September 2022 11:15 Uhr
Wenn ein Angreifer die Sicherheitslücke in der ManageEngine von Zoho ausnützt, kann das schwerwiegende Folgen für Unternehmen haben.
Wenn ein Angreifer die Sicherheitslücke in der ManageEngine von Zoho ausnützt, kann das schwerwiegende Folgen für Unternehmen haben.
Foto: Chor muang - shutterstock.com

Eine Security-Lücke in ManageEngine von Zoho, einer beliebten IT-Management-Lösung für Unternehmen, die die Ausführung von Remotecode ermöglicht, bedroht derzeit die Sicherheit von zahlreichen Firmen. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die Schwachstelle vergangene Woche in ihren Katalog bekannter Sicherheitslücken aufgenommen. Die Behörde spricht von einer unmittelbaren Bedrohung für Unternehmen, die ihre anfälligen Installationen noch nicht gepatcht haben.

Die Schwachstelle mit der Bezeichnung CVE-2022-3540 wurde im Juni von einem Sicherheitsforscher namens Vinicius privat entdeckt und noch im selben Monat behoben. Der Forscher veröffentlichte Anfang dieses Monats einen detaillierteren Bericht. Seiner Einschätzung nach handelt es sich um einen Java-Deserialisierungsfehler, der von einer veralteten Version von Apache OFBiz stammte, einem quelloffenem Enterprise-Resource-Planning-System. Die ursprüngliche Lücke (CVE-2020-9496) wurde bereits im Jahr 2020 gepatcht. Das heißt, dass die Zoho ManageEngine-Produkte zwei Jahre lang anfällig waren, weil eine Komponente eines Drittanbieters nicht aktualisiert wurde.

Normalerweise stellt Apache OFBiz einen XML-RPC-Endpunkt unter /webtools/control/xmlrpc zur Verfügung, der unauthentifizierte Anfragen empfangen kann. Diese Anfragen können serialisierte Argumente enthalten, die dann deserialisiert werden. Enthält der Klassenpfad gefährliche Klassen, kann dies dazu führen, dass Remotecode ausgeführt wird. Im Kontext des OFBiz-Servers ist der Angreifer dann in der Lage, beliebige Systembefehle mit den Rechten des Servlet-Containers auszuführen, auf dem der Server läuft.

Mehrere Zoho ManageEngine-Produkte enthalten diese Komponente und stellen den XML-RPC-Endpunkt unter /xmlrpc zur Verfügung. Eines der betroffenen Produkte ist Zoho Password Manager Pro (PMP), das mit NT-Authority-/Systemberechtigungen ausgeführt wird. Nutzt ein Angreifer die Schwachstelle aus, kann er die vollständige Kontrolle über den Server und Zugriff auf das interne Netzwerk erlangen.

Darüber hinaus wurde die Sicherheitslücke auch in ManageEngine Access Manager Plus gefunden, einer webbasierten Lösung für die Verwaltung privilegierter Sitzungen zur Verfolgung von Remote-Verbindungen. Die Privileged-Access-Management-Lösung ManageEngine PAM360 ist ebenfalls dafür anfällig. Alle betroffenen Produkte werden für die Authentifizierung und das Zugriffsmanagement verwendet, so dass die Kompromittierung eines dieser Produkte schwerwiegende Folgen für ein Unternehmen haben kann.

Zoho rät Anwendern, ein Upgrade auf Access Manager Plus Version 4303 oder höher, Password Manager Pro Version 12101 oder höher und PAM360 5510 oder höher durchzuführen. Nach Angaben des Unternehmens wurde die Schwachstelle behoben, indem die anfällige Komponente vollständig aus PAM360 und Access Manager Plus entfernt wurde und der anfällige XML-RPC-Parser aus Password Manager Pro entfernt wurde.

So überprüfen Sie die ManageEngine-Schwachstelle

Der Sicherheitshinweis enthält Schritte, mit denen Sie feststellenkönnen, ob eine von Ihnen eingesetzte Lösung angegriffen wurde und möglicherweise gefährdet ist:

  • 1. Navigieren Sie zu <PMP/PAM360/AMP_Installation_Directory>/logs.

  • 2. Öffnen Sie die Datei access_log_<Date>.txt.

  • 3. Suchen Sie in der Textdatei nach dem Schlüsselwort /xmlrpc POST. Wenn dieses Schlüsselwort nicht gefunden wird, ist Ihre Umgebung nicht betroffen. Wenn es vorhanden ist, fahren Sie mit dem nächsten Schritt fort.

  • 4. Suchen Sie in den Protokolldateien nach der folgenden Zeile. Wenn sie vorhanden ist, ist Ihre Installation beeinträchtigt:

[/xmlrpc-<RandomNumbers>_###_https-jsse-nio2-<IhrInstallationsPort>-exec-<RandomNumber>] ERROR org.apache.xmlrpc.server.XmlRpcErrorLogger - InvocationTargetException: java.lang.reflect.InvocationTargetException

Wenn eine Installation kompromittiert wurde, isolieren Sie den betroffenen Computer sofort und leiten Sie eine Untersuchung des Vorfalls ein. Zoho bittet die Benutzer, eine Kopie aller Anwendungsprotokolle zu senden, wenn eine Kompromittierung festgestellt wurde. (jm)

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.

Lucian Constantin arbeitet als Korrespondent für den IDG News Service.
Folgen: