Die Entwickler von Zoho geben an, in der aktuellen Version von ManageEngine ServiceDesk Plus drei Sicherheitslücken geschlossen zu haben. Eine gegen mögliche Attacken gerüstete Ausgabe steht zum Download bereit. Über die IT-ServiceDesk-Software können Admins IT-Systeme aus der Ferne beobachten und verwalten. Nach erfolgreichen Attacken könnten sich Angreifer unter anderem höhere Nutzerrechte verschaffen. Konkrete Informationen zu den drei Schwachstellen stehen noch aus. Bislang nennt Zoho im Servicebereich ihrer Website keine CVE-Nummern und Einschätzungen des Bedrohungsgrads. Das Notfallteam CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) führt den Bedrohungsgrad „hoch“ auf. Admins sollten aus Sicherheitsgründen die abgesicherte Version 14.105 installieren. Nachdem Sicherheitsforscher von Horizon3 für eine kritische Sicherheitslücke in mehreren ManageEngine-Produkten einen Proof-of-Concept-Exploit (PoC) veröffentlicht haben, sieht der Antiviren-Hersteller Bitdefender inzwischen aktive Angriffe auf die Sicherheitslücke CVE-2022-47966 (CVSS 9.8, Risiko „kritisch“). „Die identifizierten Opfer sind über den ganzen Globus verteilt und stammen aus unterschiedlichen Branchen, wie es bei opportunistischen Angriffen üblich ist. Nach unserer Analyse laufen auf 2.000 bis 4.000 aus dem Internet erreichbaren Servern eine der anfälligen Versionen“, erklärt Bitdefender in einer Warnmeldung. Da eine bestimmte Konfiguationsoption aktiviert sein müsse, seien davon jedoch nicht alle für den PoC angreifbar. Bitdefender drängt IT-Verantwortliche, die verwundbare Versionen im Einsatz haben, dazu, so schnell wie möglich die Aktualisierungen anzuwenden.

Quelle: Heise