Jetzt erhältlich: Java Endpoint Analyzer von Onapsis Research Labs

Von:

4. Oktober 2023

Letzte Woche Onapsis Research Labs der Community einen neuen Java Endpoint Analyzer Onapsis Research Labs , der bei der Identifizierung von SAP-Endpunkten helfen soll. Im Rahmen des Cybersecurity Awareness Month und unter dem diesjährigen Motto „Secure Our World“ freuen wir uns, dies mit der Community zu teilen. Nachfolgend finden Sie einige Details, darunter auch, wo Sie den Analyzer auf GitHub finden können:
 

Ziel des Java Endpoint Analyzer:

Der Java Endpoint Analyzer (JEA) hilft Ihnen dabei, assess Umfang eines auf Java basierenden SAP-Systems assess , um zu verstehen, welche HTTP-Endpunkte verfügbar sind. Dazu analysiert er automatisch Deployment-Dateien (wie web.xml, webdympro.xml, portalapp.xml), um die URLs (Endpunkte) des Systems zu extrahieren. Da Betriebssystem-Anmeldedaten erforderlich sind, ist er für den internen Gebrauch vorgesehen.

Derzeit funktioniert es mit folgenden Arten von Anwendungen:

  • Servlets
  • SOAP-Anwendungen
  • Portal-Apps
  • Webdynpros

Der Java Endpoint Analyzer (JEA) ermittelt alle HTTP-Endpunkte und stellt fest, welche SAP-Endpunkte über ansprechbare URLs verfügen, die potenzielle Einfallstore für Angreifer darstellen könnten. Stellen Sie sich das so vor, als würden Sie alle Türen und Fenster Ihres Hauses überprüfen – Sie können entscheiden, ob Sie diese verschließen oder auf eine Weise Ihrer Wahl überwachen möchten.

Wie funktioniert der Java Endpoint Analyzer?

JEA benötigt die Anmeldedaten des Ziel-SAP-Systems, um sich über SSH anzumelden und bestimmte Dateien herunterzuladen. Bei diesen Dateien handelt es sich um Konfigurationsdateien für die Bereitstellung, die von den verschiedenen Arten von Webanwendungen verwendet werden. Sobald sie lokal heruntergeladen wurden, beginnt die Analysephase des Prozesses. Jede Datei wird analysiert, und auf Grundlage der darin enthaltenen Informationen werden die Einstiegspunkte erstellt.

Als Ergebnis liefert dieses Tool eine Datei namens „endpoints.json“, die alle gefundenen HTTP-Endpunkte des Java-Systems enthält.

Die Auswirkungen des Java Endpoint Analyzer

Die Mission Onapsis Research Labsist es, zum Aufbau einer sichereren Welt beizutragen. Da kritische Anwendungen und Systeme heute stärker denn je miteinander vernetzt sind, ist dies ein Werkzeug, das Teams dabei unterstützen kann, ihre wichtigsten Anwendungen innerhalb ihrer Infrastruktur zu überprüfen.

Durch den Einsatz von JEA gelang es dem Onapsis Research Labs , mehrere Sicherheitslücken zu identifizieren und zu melden, was letztlich dazu beitrug, eine robustere und sicherere Software zu entwickeln. Zu den herausragendsten Ergebnissen, die mit Hilfe von JEA entdeckt wurden, zählen beispielsweise RECON und P4CHAINS

Wir hoffen, dass Sie diese Ressource nützlich finden. Um mehr zu erfahren und JEA herunterzuladen, besuchen Sie Github hier.

Stichworte, , , ,
Über den Autor

Pablo Artuso

Pablo „Partu“ Agustin Artuso ist ein erfahrener Sicherheitsforscher mit Fachkenntnissen in der Identifizierung von Schwachstellen und der Verbesserung der Sicherheit geschäftskritischer Anwendungen. Dank seines fundierten Hintergrunds im Bereich Cybersicherheit und seiner Spezialisierung auf Systeme wie SAP hat er zur Stärkung der Widerstandsfähigkeit von Unternehmen beigetragen. Seine technische Kompetenz und seine praktische Erfahrung haben ihn zu einer Schlüsselfigur im Bereich der Unternehmenssicherheit gemacht. Während seiner Zeit bei Onapsis wurde er als Redner für die Black Hat USA und die Ekoparty ausgewählt und war der leitende Forscher bei der Entdeckung der als P4CHAINS bezeichneten Schwachstellenfamilie.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen