Aktuelles, Branche - geschrieben von dp am Montag, September 13, 2021 20:05 - noch keine Kommentare
Zoho-Schwachstelle ermöglicht Zero-Day-Angriffe
Tenable rät zum schnelle Einspielen der Zoho-Patches
[datensicherheit.de, 13.09.2021] Laut einer aktuellen Meldung von Tenable warnt die CISA (Cybersecurity & Infrasctructure Security Agency), dass eine Schwachstelle, die „Zoho ManageEngine ADSelfService Plus Build 6113“ und niedriger (CVE-2021-40539) betreffend, bei „Exploits“ in der Praxis entdeckt und genutzt worden sei – Zoho habe diese Schwachstelle nun gepatcht.
Foto: Tenable
Satnam Narang: Nicht authentifizierter Remote-Angreifer könnte Sicherheitsanfälligkeit ausnutzen
Zoho hat Sicherheitsempfehlung veröffentlicht
Zoho hat demnach eine Sicherheitsempfehlung veröffentlicht, um eine kritische Sicherheitsanfälligkeit zur Umgehung der Authentifizierung in seiner Lösung „ADSelfService Plus“ zu beheben, welche in der Praxis als Zero-Day-Angriff ausgenutzt worden sei, berichtet Satnam Narang, „Staff Research Engineer“ bei Tenable, in seiner Stellungnahme.
Ein nicht authentifizierter Remote-Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, „indem er eine speziell gestaltete Anfrage an die anfällige REST-API- URL-Endpunkte sendet“. Eine erfolgreiche Ausnutzung würde zu einer Remote-Code-Ausführung führen.
Unternehmen sollten Zoho-Patch sofort anzuwenden
Da „ADSelfService Plus“ eine Self-Service-Passwortverwaltungs- und Single-Sign-On-Lösung für „Active Directory“ und „Cloud“-Apps sei, könne ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, um weiter in ein Unternehmen einzudringen.
„Derzeit deuten einige Untersuchungen zu ,ZoomEye‘ darauf hin, dass in den letzten Jahren über 2.000 ,ADSelfService Plus‘-Systeme öffentlich zugänglich waren, darunter über 700 in den USA, 251 in Großbritannien und viele mehr in anderen Ländern innerhalb und außerhalb Europas“, so Narang. Er betont: „Für Unternehmen ist es wichtig, den verfügbaren Patch sofort anzuwenden.“
Weitere Informationen zum Thema:
heige auf Twitter
ZoomEye Dork app:“ Zoho ManageEngine ADManager Plus“ About 2,127 results (Nearly year: 738 results)
ManageEngine
Security Advisory – CVE-2021-40539 ADSelfService Plus-Systeme
CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 08.09.2021
Zoho Releases Security Update for ADSelfService Plus
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten, Studien - Juni 11, 2026 0:58 - noch keine Kommentare
Digitale Technikprobleme – über ein Drittel der IT-Nutzer bittet nur ungern um Hilfe
weitere Beiträge in Experten
- „AI Security Institute“: TÜV-Verband begrüßt wichtiges Signal für den KI-Standort Deutschland
- „AI Security Institute“: Gründung eines deutschen KI-Sicherheitsinstituts beschlossen
- Drohnen-Mitnahme bei Flugreisen: Akkus falsch einzupacken kann zu Hunderten Euro Verlust führen
- „Bestes Netz für Deutschland“ – Memorandum of Understanding für Netzausbau unterzeichnet
- Informatik-Monitor Junior 2026: Informatorische Bildung an Grundschulen auf Basis lückenhafter Lehrpläne
Aktuelles, Branche - Juni 11, 2026 0:23 - noch keine Kommentare
Realitätscheck zur souveränen europäischen KI
weitere Beiträge in Branche
- Faktor Mensch bleibt laut aktueller Cyberversicherungsstudie zentraler Angriffsvektor
- Malwarebytes Scam Number Check: Kostenlose Rückwärtssuche für Telefonnummern zum Verbraucherschutz
- Niederlage oder Sieg: Backups im Kontext der Cyberrisiken rund um die Fußball-WM 2026
- Cybersicherheit quasi Torhüter der Netzwerke: WM 2026 als Herausforderung und Inspiration
- Händewaschen als Best Practice: Lernkultur zwischen Krankenhaushygiene und Identity Security
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
Kommentieren