Attacken auf IT-Helpdesk-Software Zoho ManageEngine Service Desk Plus
Eine kritische Sicherheitslücke in Zoho-Software für unter anderem Ticketing-Abläufe wurde schon im September geschlossen. Nun wird sie ausgenutzt.
(Bild: Artur Szczybylo/Shutterstock.com)
Die Cybersecurity & Infrastructure Agency (CISA) und das FBI warnen vor Attacken auf Zoho ManageEngine Service Desk Plus. Kommt die IT-Helpdesk-Software in Unternehmen zum Einsatz, sollten Admins den seit Mitte September verfügbaren Sicherheitspatch zeitnah installieren.
Mithilfe der Software kann man etwa in Service-Portalen Ticketing-Abläufe steuern und Projekte managen.
Wie aus einer Warnmeldung hervorgeht, könnten Angreifer durch das erfolgreiche Ausnutzen der Lücke (CVE-2021-44077 „kritisch“) Hintertüren auf Systemen platzieren und so beispielsweise Admin-Zugangsdaten mitschneiden. Die Schwachstelle betrifft den Entwicklern zufolge die REST API. Zum Einleiten einer Attacke soll es ausreichen, wenn Angreifer spezielle Dateien hochladen. Schadcode-Attacken sollen ohne Authentifizierung aus der Ferne möglich sein.
Jetzt patchen!
In einem ausführlichen Bericht analysieren Sicherheitsforscher von Palo Alto Networks Unit42 die von einer Advanced-Persistent-Threat-Gruppe (APT) ausgehenden Attacken. Ihnen zufolge sind global 4700 Instanzen von Service Desk Plus über das Internet erreichbar. Rund 2900 davon sollen verwundbar sein. Zoho gibt an, dass die Versionen ab 11306 gegen die geschilderte Attacke gewappnet sind.
Die Entwickler der Software haben Patch-Infos für Admins auf einer Website zusammengetragen. Dort steht unter anderem ein Tool zum Download, mit dem man prüfen kann, ob Systeme bereits kompromittiert sind.
(des)
