ManageEngine

Die Schwachstelle betrifft die REST-API der Software Zoho ManageEngine ADSelfService Plus, mit der Anwender ihre Passwörter und Konten in Active-Directory-Umgebungen selbst verwalten. Über bestimmte API-Aufrufe lässt sich der Anmeldemechanismus umgehen: Ein Angreifer kann auf geschützte Schnittstellen zugreifen, ohne sich vorher gültig authentifizieren zu müssen. Diese Authentifizierungsumgehung bleibt nicht folgenlos, sondern mündet in die Ausführung von beliebigem Code auf dem betroffenen System. Damit kann ein Angreifer aus der Ferne eigene Befehle einschleusen und die Kontrolle über den Server übernehmen, auf dem die Anwendung läuft. Besonders heikel ist die Kombination beider Merkmale: Da keine Zugangsdaten benötigt werden und der Angriff direkt über die exponierte REST-Schnittstelle erfolgt, steht der Weg überall dort offen, wo die Verwaltungsanwendung erreichbar ist. Da das Produkt zentral mit dem Verzeichnisdienst verbunden ist, wiegt eine Übernahme entsprechend schwer.