„`html
Zusammenfassung
Die Schwachstelle CVE-2026-2740 betrifft mehrere ManageEngine-Produkte von Zoho und ermöglicht authentifizierten Angreifern die Remote Code Execution auf Agent-Maschinen. Die Vulnerabilität basiert auf einer fehlerhaften Third-Party-Dependency und wird mit einem CVSS-Score von 8.4 als „High“ bewertet. Derzeit ist kein Patch verfügbar.
Betroffene Systeme
- Zoho ManageEngine ADSelfService Plus vor Version 6525
- Zoho ManageEngine DataSecurity Plus vor Version 6264
- Zoho ManageEngine RecoveryManager Plus vor Version 6313
Technische Details
Die Vulnerabilität liegt in einer fehlerhaften Implementierung einer Third-Party-Abhängigkeit, die in den betroffenen ManageEngine-Modulen verwendet wird. Ein authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code auf den Agent-Maschinen auszuführen. Der Angriffsvektor ist netzwerkbasiert, was bedeutet, dass kein lokaler Zugriff erforderlich ist. Die Authentifizierung ist Voraussetzung, limitiert das Risiko jedoch nicht grundlegend, da viele Organisationen schwache Zugangskontrolle haben.
Empfohlene Massnahmen
Sofortig:
- Erhöhte Überwachung der Agent-Maschinen implementieren
- Zugriffskontrolle zu ManageEngine-Systemen überprüfen und einschränken
- Netzwerksegmentierung zur Isolation der Agent-Maschinen durchführen
Mittelfristig:
- Auf aktualisierte Versionen upgraden, sobald Patches verfügbar sind
- Logs auf verdächtige Aktivitäten prüfen
- Alternative Security-Lösungen evaluieren
Bewertung
Die fehlende Patch-Verfügbarkeit bei hohem CVSS-Score erfordert sofortige Gegenmaßnahmen. Administratoren müssen ihre Systeme kompensatorisch schützen und Zoho für Updates kontaktieren.
„`