ManageEngine

Die Schwachstelle betrifft zahlreiche lokal betriebene Produkte aus der ManageEngine-Reihe von Zoho, darunter ServiceDesk Plus und viele weitere Verwaltungs- und Sicherheitswerkzeuge. Ursache ist die Verwendung einer veralteten Drittanbieter-Bibliothek für XML-Sicherheit (Apache Santuario xmlsec). In der eingesetzten Fassung überlässt diese Bibliothek per Design bestimmte Schutzvorkehrungen rund um die XSLT-Verarbeitung der jeweiligen Anwendung – und genau diese Absicherungen haben die ManageEngine-Produkte nicht umgesetzt. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten beliebigen Code auf dem Server ausführen und so die betroffene Installation übernehmen. Ausnutzbar ist die Lücke allerdings nur, wenn für ein Produkt jemals die SAML-basierte Single-Sign-On-Anmeldung eingerichtet wurde; bei einigen Produkten muss diese SSO-Konfiguration sogar aktuell aktiv sein. Betroffen sind ausschließlich die On-Premise-Installationen, also vor Ort betriebene Systeme.