Frei für alle
Durch einen unzureichend gesicherten Mechanismus im Umgang mit Anfragen ist es nicht authentifizierten Benutzern möglich auf einen Nutzer-API-Schlüssel zuzugreifen. Somit können Angreifer unter falscher Authentifizierung auf externe APIs zugreifen (CVE-2022-36923). Zoho empfiehlt auch trotz Update auf die neue Version, die Schlüssel neu zu generieren, um sicherzustellen, dass zuvor ausgelesene Schlüssel in der Zukunft nicht mehr verwendet werden können.
Datenbank-Manipulation
Eine weitere Schwachstelle (CVE-2022-37024), die unter Umständen auf der oben genannten aufbauen kann, aber nicht muss, gibt authentifizierten Benutzern die Gelegenheit Änderungen an der Datenbank vorzunehmen und dadurch beliebigen Schadcode auszuführen.
Von Zoho in der Vergangenheit veröffentlichte Schwachstellen wurden schnell von Cyberkriminellen ausgenutzt. Daher wird empfohlen, die Updates schnellstmöglich einzuspielen.
Betroffene Software:
· OpManager
· OpManager Plus
· OpManager MSP
· Network Configuration Manager
· NetFlow Analyzer
· Firewall Analyzer
· OpUtils
Quelle:
https://www.manageengine.com/itom/advisory/cve-2022-37024.html
https://www.manageengine.com/itom/advisory/cve-2022-36923.htm