CISA hat eine Warnung zu einem neuen . veröffentlicht, Kritische Zero-Day-Schwachstelle, die Zoho ManageEngine-Server betrifft.
verbunden: Drei neue Zero-Days in Kaseya Unitrends veröffentlicht
Genauer, ein Fehler bei der Authentifizierungsumgehung betrifft die REST-API-URLs in ADSelfService Plus, die an die Remotecodeausführung führen könnte, wenn erfolgreich ausgenutzt. Der Zero-Day wurde als CVE-2021-40539 identifiziert.
CVE-2021-40539 Zero-Day in Zoho ManageEngine
Nach der Enthüllung, Zoho hat ein Sicherheitsupdate veröffentlicht, das den Fehler behebt. Der Fehler selbst betrifft ManageEngine ADSelfService Plus-Builds 6113 und darunter.
Laut Zohos Empfehlung, der Zero-Day „ermöglicht einem Angreifer, sich über REST-API-Endpunkte unbefugten Zugriff auf das Produkt zu verschaffen, indem er eine speziell gestaltete Anfrage sendet. Dies würde es dem Angreifer ermöglichen, nachfolgende Angriffe durchzuführen, die zu RCE führen.“
Was ist ManageEngine ADSelfService Plus??
Dies ist eine Self-Service-Passwortverwaltungs- und Single-Sign-On-Lösung für Active Directory und Cloud-Apps. „CISA fordert Organisationen nachdrücklich auf, sicherzustellen, dass ADSelfService Plus nicht direkt über das Internet zugänglich ist," die Forscher alarmiert.
Benutzer und Administratoren werden ermutigt, sich für weitere Details an die Zoho-Beratung zu wenden, und auf ADSelfService Plus-Build zu aktualisieren 6114.