ManageEngine

Die Schwachstelle betrifft Zoho ManageEngine, genauer die Komponente Desktop Central zur zentralen Verwaltung von Endgeräten. Ursache ist eine unsichere Verarbeitung (Deserialisierung) nicht vertrauenswürdiger Daten in der Bildausgabefunktion der zuständigen Speicherklasse. Übergibt ein Angreifer manipulierte Daten an die betroffenen Servlets, die Diagramme erzeugen und Protokolldaten entgegennehmen, werden diese beim Einlesen in ausführbaren Programmcode umgesetzt. Auf diese Weise lässt sich aus der Ferne und ohne gültige Anmeldung beliebiger Code auf dem Server ausführen. Da die Schwachstelle über das Hochladen von Dateien an exponierte Servlet-Schnittstellen erreichbar ist, genügt der bloße Netzwerkzugang. Weil Desktop Central der zentralen Steuerung vieler verwalteter Rechner dient, kann ein Angreifer mit der Kontrolle über den Server weitreichenden Zugriff auf die gesamte angebundene Geräteinfrastruktur erlangen.