Wereldwijd zijn duizenden installaties van ManageEngine kwetsbaar voor aanvallen omdat systeembeheerders hebben nagelaten een belangrijke beveiligingsupdate voor een actief aangevallen kritieke kwetsbaarheid te installeren, zo stelt securitybedrijf Censys. Het werkelijke aantal kwetsbare installaties ligt waarschijnlijk veel hoger, aangezien niet van alle ManageEngine-producten de versie kan worden vastgesteld.
Het beveiligingslek is aanwezig in verschillende Zoho ManageEngine-producten, waaronder Access Manager Plus, PAM 360, Password Manager Pro en ServiceDesk Plus. In totaal zijn 24 verschillende oplossingen van ManageEngine kwetsbaar. Het beveiligingslek, aangeduid als CVE-2022-47966, maakt het voor een ongeauthenticeerde aanvaller mogelijk om op afstand willekeurige code op kwetsbare systemen uit te voeren.
Het beveiligingslek wordt veroorzaakt door een third-party afhankelijkheid van Apache Santuario. Eind oktober en begin november vorig jaar kwam Zoho met beveiligingsupdates voor de kwetsbaarheid. Ruim een week geleden werd proof-of-concept exploitcode voor het beveiligingslek openbaar gemaakt en inmiddels maken aanvallers actief misbruik van de kwetsbaarheid.
Censys voerde een online scan uit naar kwetsbare ManageEngine-installaties. Het bleek niet mogelijk om van alle producten het versienummer vast te stellen. Daardoor heeft Censys de resultaten tot zeven ManageEngine-producten beperkt. Het ging bij elkaar om 8100 installaties, waarvan er 5500 door de ontbrekende beveiligingsupdate kwetsbaar waren, wat neerkomt op bijna zeventig procent.
Veruit het grootste deel van de installaties betreft ManageEngine ServiceDesk Plus. Dit is software waarmee helpdesks allerlei taken kunnen uitvoeren, zoals incidentmanagement, het beheer van supporttickets en het genereren van rapportages. Ook biedt ServiceDesk Plus een "self-service portal" waarmee eindgebruikers de wachtwoorden van hun accounts kunnen resetten. Kwetsbaarheden in ServiceDesk zijn in het verleden vaker bij aanvallen gebruikt, aldus de FBI. Censys detecteerde op internet ruim 6100 ServiceDesk-installaties. Daarvan waren er meer dan 4400 kwetsbaar.
Hierbij moet wel worden opgemerkt dat misbruik van de kwetsbaarheid alleen mogelijk is wanneer SAML-gebaseerde single sign-on staat ingeschakeld of ooit ingeschakeld is geweest. Dat neemt niet weg dat een update voor ServicDesk sinds 27 oktober vorig jaar beschikbaar is en organisaties die drie maanden later nog altijd niet hebben geïnstalleerd. Beheerders wordt dan ook opgeroepen om de beschikbare updates te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.