ManageEngine

Die Schwachstelle betrifft die Privileged-Access- und Passwortverwaltungsprodukte von Zoho ManageEngine, konkret Password Manager Pro und PAM360. Beide Produkte enthalten einen Fehler, der das Einschleusen und Ausführen von beliebigem Programmcode aus der Ferne erlaubt – und zwar ohne vorherige Anmeldung. Ein Angreifer benötigt also weder gültige Zugangsdaten noch eine Benutzerinteraktion, um über das Netzwerk eigenen Code auf dem betroffenen System auszuführen und damit die Kontrolle darüber zu übernehmen. Auch das Produkt Access Manager Plus ist betroffen, dort allerdings nur, wenn der Angreifer bereits authentifiziert ist. Besonders schwer wiegt die Lücke, weil es sich um Systeme handelt, die selbst der Verwaltung privilegierter Zugänge und Passwörter dienen: Wer ein solches System übernimmt, erlangt potenziell Zugriff auf die darin hinterlegten administrativen Anmeldedaten und damit auf weite Teile der nachgelagerten Infrastruktur.