Business Security

Zoho stellt Updates zum Schließen kritischer Sicherheitslücken bei OpManager bereit

Mit einem Update schließt Zoho mehrere Schwachstellen für ihre Netzwerk-Überwachungs-Software, darunter auch kritische.

Frei für alle

Durch einen unzureichend gesicherten Mechanismus im Umgang mit Anfragen ist es nicht authentifizierten Benutzern möglich auf einen Nutzer-API-Schlüssel zuzugreifen. Somit können Angreifer unter falscher Authentifizierung auf externe APIs zugreifen (CVE-2022-36923). Zoho empfiehlt auch trotz Update auf die neue Version, die Schlüssel neu zu generieren, um sicherzustellen, dass zuvor ausgelesene Schlüssel in der Zukunft nicht mehr verwendet werden können.

Datenbank-Manipulation

Eine weitere Schwachstelle (CVE-2022-37024), die unter Umständen auf der oben genannten aufbauen kann, aber nicht muss, gibt authentifizierten Benutzern die Gelegenheit Änderungen an der Datenbank vorzunehmen und dadurch beliebigen Schadcode auszuführen.

Von Zoho in der Vergangenheit veröffentlichte Schwachstellen wurden schnell von Cyberkriminellen ausgenutzt. Daher wird empfohlen, die Updates schnellstmöglich einzuspielen.

 

Betroffene Software:

· OpManager

· OpManager Plus

· OpManager MSP

· Network Configuration Manager

· NetFlow Analyzer

· Firewall Analyzer

· OpUtils

 

Quelle:

https://www.manageengine.com/itom/advisory/cve-2022-37024.html

https://www.manageengine.com/itom/advisory/cve-2022-36923.htm

Zurück

Diesen Beitrag teilen
oben