Zoho ManageEngine: Schwachstelle erlaubt Umgehen von Mehrfaktorauthentifizierung
In diversen Zoho ManageEngine-Produkten können Angreifer aufgrund einer Sicherheitslücke die Mehrfaktorauthentifizierung umgehen. Updates stehen bereit.
Zahlreiche ManageEninge-Produkte von Zoho sind von Schwachstellen betroffen, die die Umgehung der Mehrfaktorauthentifizierung (MFA) ermöglichen. Während aktualisierte Softwarepakete offenbar seit Ende Juni bereitstehen, wurde erst jetzt die CVE-Meldung dazu bekannt.
Laut Beschreibung der Zoho-Entwickler ermöglicht es die Sicherheitslücke Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen und das Konto des Opfers zu übernehmen (CVE-2023-35785, kein CVSS-Wert, Einstufung von Zoho als Risiko "hoch"). Weitere Details zur Lücke nennt der Hersteller nicht, sondern liefert zusätzlich lediglich die Formulierung, dass die Sicherheitsmeldung eine Umgehung einer Dritt-Faktor-Authentifizierung via einiger weniger Authenticators angehe.
Zoho-MFA-LĂĽcke: Viele Produkte betroffen
Die Auflistung betroffener Produkte ist länger: Active Directory 360, ADAudit Plus, ADManager Plus, Asset Explorer, Cloud Security Plus, Data Security Plus, Eventlog Analyzer, Exchange Reporter Plus, Log360, Log360 UEBA, M365 Manager Plus, M365 Security Plus, Recovery Manager Plus, ServiceDesk Plus, ServiceDesk Plus MSP, SharePoint Manager Plus sowie Support Center Plus. In der Meldung verlinkt Zoho Unteseiten mit den jeweiligen Downloads von Hotfixes.
Die ManageEngine-Cloud respektive -On-Demand-Produkte seien von den Schwachstellen nicht betroffen. Der Hersteller drängt zum zügigen Updaten: "In Anbetracht der Schwere dieser Sicherheitslücke wird den Kunden dringend empfohlen, sofort auf den neuesten Build der oben genannten Produkte zu aktualisieren", schreiben die Entwickler in der Sicherheitsmeldung. Wer die Updates aus dem Juni noch nicht angewendet hat, sollte das daher jetzt zeitnah nachholen.
ManageEngine-Produkte hatten etwa Ende Januar bereits mit einer kritisch eingestuften Sicherheitslücke zu kämpfen. Aufgrund von Fehlern bei LDAP hätten Angreifer sich mit beliebigen Passwörtern anmelden können.
(dmk)