werthGHOST: Das weltweit erste Post-Exploitation-Framework für SAP zur realistischen Simulation von Advanced Persistent Threats (APTs)

In der heutigen digitalen Landschaft werden Unternehmen immer wieder mit komplexen Bedrohungen und gezielten Angriffen konfrontiert. Sicherheitslösungen und präventive Maßnahmen alleine reichen oft nicht aus, um fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, kurz APTs) erfolgreich abzuwehren. Um die Robustheit eines Sicherheitssystems wirklich zu testen, bedarf es eines Tools, das eine realistische Bedrohungssimulation bietet und Schwachstellen aufdeckt, bevor es ein Angreifer tut.

Hier kommt werthGHOST ins Spiel – das weltweit erste Post-Exploitation-Framework speziell für SAP-Systeme. Mit werthGHOST erhalten Unternehmen die Möglichkeit, APTs realistisch zu simulieren und Sicherheitsmechanismen auf die Probe zu stellen.

Was ist werthGHOST?

Der werthGHOST wurde entwickelt, um den nächsten Schritt in der Cybersecurity zu ermöglichen: die aktive und realistische Bedrohungssimulation in SAP-Umgebungen. Dabei geht es nicht nur um die Identifizierung von Schwachstellen, sondern um die Fähigkeit, reale Angriffsszenarien zu simulieren und darauf zu reagieren. Mit werthGHOST kann ein Unternehmen sein SAP-System wie nie zuvor testen und sicherstellen, dass Sicherheitsvorkehrungen und Detection-Systeme reaktionsfähig und belastbar sind.

Die wichtigsten Funktionen des werthGHOST

Unser Framework bietet eine breite Palette an Funktionalitäten, die es ermöglichen, Angriffe präzise zu simulieren und die Auswirkungen auf das SAP-System zu bewerten. Die Hauptfunktionen umfassen:

  • OS-Befehlsausführung: Ermöglicht das Ausführen von Betriebssystembefehlen direkt über das Framework, um zu testen, wie tief Angreifer vordringen könnten und wie gut das System abgesichert ist.
  • SQL-Befehlsausführung: Mit dieser Funktion können SQL-Befehle direkt in die Datenbank des SAP-Systems eingegeben werden. Dies simuliert eine Bedrohung, die auf sensible Unternehmensdaten abzielt.
  • Dateizugriff: Der Zugriff auf System- und Benutzerdateien ermöglicht eine weitere, realistische Simulation von Angriffen auf kritische Daten.
  • ABAP-Ausführung: Durch die Ausführung von ABAP-Code kann SAP-spezifischer Programmcode eingeschleust werden und Angriffe auf die Geschäftslogiken simuliert werden.
  • Socks Proxy: Diese Funktion dient der Umgehung von Sicherheitskontrollen und der Weiterleitung von Datenverkehr, wie es auch echte Angreifer häufig tun würden.
  • Lateral Movement: Der werthGHOST simuliert, wie sich ein Angreifer von einem kompromittierten System aus im Netzwerk weiterbewegen könnte. So lässt sich testen, ob das Sicherheitskonzept Angreifer in ihrer Bewegung zwischen verschiedenen Systemen aufhalten kann.

Vorteile von werthGHOST für Unternehmen

  1. Realitätsnahe Bedrohungssimulation: werthGHOST ermöglicht es reale Bedrohungsszenarien unter kontrollierten Bedingungen zu simulieren. Die Auswirkungen der Angriffe sind sichtbar und helfen dabei, Schwachstellen zu identifizieren.
  2. Testen und Verbessern von Erkennungssystemen: Mit werthGHOST lassen sich bestehende Sicherheitssysteme und Detection-Lösungen testen und optimieren. So können Unternehmen sicherstellen, dass Bedrohungen frühzeitig erkannt und abgewehrt werden können.
  3. Sicheres Testen ohne Betriebsunterbrechung: Das Framework wurde entwickelt, um SAP-Systeme realistisch und ohne Risiko für den laufenden Betrieb zu testen. Unternehmen können sicherstellen, dass ihre Daten und Prozesse auch während der Tests geschützt bleiben.
  4. Schulung und Weiterentwicklung des Sicherheitsteams: Die Simulation eines APTs mit werthGHOST gibt Sicherheitsteams die Möglichkeit, praxisnahe Erfahrung mit APTs und anderen fortschrittlichen Bedrohungen zu sammeln und sich so auf echte Angriffe vorzubereiten.

Fazit

In Zeiten wachsender Bedrohungen und zunehmender Komplexität der IT-Umgebungen benötigen Unternehmen Unterstützung, um sich auf Angriffe und Sicherheitsvorfälle realistisch vorbereiten. Der werthGHOST ist mehr als nur ein Test-Tool – es ist ein entscheidender Baustein für eine proaktive und zukunftssichere Sicherheitsstrategie.

Mit dem werthGHOST haben Unternehmen nun die Möglichkeit, ihre SAP-Systeme unter echten Bedingungen zu testen und das Vertrauen in ihre Sicherheitsmaßnahmen zu stärken. Zögern Sie nicht, uns zu kontaktieren, um mehr über den werthGHOST und seine Einsatzmöglichkeiten zu erfahren.


Über uns

Werth IT GmbH ist ein innovativer Anbieter für Sicherheitslösungen, die speziell für anspruchsvolle IT-Umgebungen entwickelt wurden. Wir setzen uns dafür ein, Unternehmen mit den besten Werkzeugen auszustatten, um ihre Systeme und Daten optimal zu schützen.

Der neue KI-Assistent im werthAUDITOR: Ein Schritt in die richtige Richtung

Wir sind begeistert, Ihnen den neuen KI-Assistenten im werthAUDITOR vorzustellen!

Dieser innovative Tool ist ein wichtiger Bestandteil unserer werthAUDITOR-Plattform und hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren.

Aber was bedeutet das eigentlich? Lassen Sie uns gemeinsam einen Blick in die Zukunft der SAP-Sicherheit werfen. Die Welt der IT-Sicherheit hat sich verändert. Neue Bedrohungen und Angriffe erfordern neue Strategien und Technologien.

Der KI-Assistent im werthAUDITOR ist ein wichtiger Schritt in diese Richtung. Er analysiert Ihre Daten und gibt Ihnen konkrete Empfehlungen, um Ihre SAP-Sicherheit zu verbessern. Aber wie funktioniert das eigentlich?

Wie funktioniert der KI-Assistent?

Der KI-Assistent im werthAUDITOR verwendet fortschrittliche Algorithmen und Machine-Learning-Technologien, um Ihre Daten zu analysieren und Empfehlungen zu geben. Sie können mit diesem interagieren, um Bewertungen für die Sicherheitslage der geprüften Systeme zu erhalten.
Aber das ist noch nicht alles. Der KI-Assistent kann Ihnen auch eine Security Roadmap erstellen oder bis ins kleinste Detail in ein Finding abtauchen. Oder er hilft Ihnen bei einem Assessment oder Penetrationstest und empfiehlt einen passenden Exploit für den nächsten Schritt. Er unterstützt bei der Prüfung auf Herz und Nieren, um eine umfassende Sicherheit zu gewährleisten.

Warum ist der KI-Assistent wichtig?

Der KI-Assistent im werthAUDITOR ist ein wichtiger Bestandteil unseres Systems. Er hilft Ihnen dabei, Ihre SAP-Sicherheit zu optimieren und Ihre Systeme vor potenziellen Bedrohungen zu schützen.
Aber warum ist er wichtig? Der KI-Assistent ist wichtig, weil er als kompetenter SAP Security Experte an Ihrer Seite steht und Ihnen assistiert, um eine umfassende Sicherheit Ihrer Systeme zu gewährleisten.

Was bedeutet das für Sie?

Der KI-Assistent im werthAUDITOR bedeutet, dass Sie Ihre SAP-Sicherheit auf ein neues Level heben können. Es bedeutet, dass Sie Ihre Systeme vor potenziellen Bedrohungen schützen können und Ihre Daten sicher halten können.
Lernen Sie mehr über den werthAUDITOR und unsere KI-Technologie auf unserer Website.

Aktuelle Patches

Hier findet ihr eine Übersicht der SAP Security Notes für Oktober 2024:

1. Score 9.8   (Hot News)

Nummer: 3479478

[CVE-2024-41730] Fehlende Authentifizierungsprüfung in SAP-BusinessObjects-Business-Intelligence-Plattform

Wenn die Enterprise-Authentifizierung in SAP BusinessObjects Business Intelligence für Single Sign-On aktiviert ist, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer über einen REST-Endpunkt ein Anmeldetoken erhält. Dies könnte zu einer erheblichen Gefährdung des Systems führen und hat weitreichende negative Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit.

Änderungsprotokoll:

v20 (aktuelle Version) – AKTUALISIERUNG 8. Oktober 2024: Mit neuen Informationen zu Support-Paketen und Patches wurde dieser SAP-Hinweis aktualisiert. Die Korrektur ist in 4.2 SP009 verfügbar.

v12 (vorherige Version) – UPDATE 20. August 2024: Dieser Hinweis wurde erneut veröffentlicht und enthält aktualisierte Informationen zur Gültigkeit sowie zusätzliche Behelfslösungen im Abschnitt „Lösung“.

v9 (Initiale Version)

2. Score 8.0   (High priority)

Nummer: 3523541

[CVE-2022-23302] Mehrere Schwachstellen in SAP Enterprise Project Connection

Die Versionen der Open-Source-Bibliotheken Spring-Framework und Log4j, die in SAP Enterprise Project Connection verwendet werden, könnten anfällig für die im Abschnitt „Weitere Begriffe“ dieses SAP-Sicherheitshinweises aufgeführten CVEs sein.

3. Score 7.7   (High priority)

Nummer: 3478615

[CVE-2024-37179] Schwachstelle mit Blick auf unsicheren Dateibetrieb in SAP-BusinessObjects-Business-Intelligence-Plattform (Web Intelligence)

Die SAP-BusinessObjects-Business-Intelligence-Plattform ermöglicht authentifizierten Benutzern, gezielt Anfragen an den Web Intelligence Reporting Server zu stellen. Dadurch können sie beliebige Dateien von dem Rechner herunterladen, auf dem der Dienst gehostet wird, was erhebliche Auswirkungen auf die Vertraulichkeit der Anwendung hat.

4. Score 6.5   (Medium priority)

Nummer: 3495876

[Mehrere CVEs] Mehrere Schwachstellen in SAP Replication Server (FOSS)

In den Open-Source-Software-Bibliotheken (FOSS) OpenSSL und Spring Framework, die von SAP Replication Server bereitgestellt werden, wurden mehrere Schwachstellen festgestellt: CVE-2023-0215, CVE-2022-0778 und CVE-2023-0286. SAP Replication Server ist jedoch nicht von diesen Schwachstellen betroffen, da die anfälligen Funktionen aus den FOSS nicht verwendet werden. Dennoch könnten diese verwundbaren FOSS potenziell die Installationsumgebung angreifbar machen.

Änderungsprotokoll:

v9 (Aktuelle Version) – UPDATE 8. Oktober 2024: Dieser SAP-Hinweis wurde mit geringfügigen Textkorrekturen im Abschnitt „Symptom“ aktualisiert. Es sind keine Änderungen vorgenommen worden, die zusätzliche Schritte von Kunden erfordern.

v7 (Vorgängerversion) – UPDATE 10. September 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht.

v6 (Initialversion)

5. Score 6.0   (Medium priority)

Nummer: 3477359

[CVE-2024-45283] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver AS for Java (Destinations Service)

SAP NetWeaver AS for Java bietet einem berechtigten Angreifer die Möglichkeit, sensible Informationen abzurufen. Bei der Erstellung einer RFC-Destination kann der Angreifer sowohl den Benutzernamen als auch das Kennwort erlangen. Nach der erfolgreichen Ausnutzung dieser Schwachstelle hat der Angreifer Zugriff auf bestimmte sensible Informationen, kann jedoch keine Daten ändern oder löschen.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde mit aktualisierten Lösungsinformationen erneut veröffentlicht. Geringfügige Textänderungen an den Lösungsinformationen wurden vorgenommen, die keine Maßnahmen seitens der Kunden erfordern.

v7 (Initialversion)

6. Score 5.4   (Medium priority)

Nummer: 3507545

[CVE-2024-45278] Cross-Site-Scripting-Schwachstelle (XSS) in SAP-Commerce-Backoffice

Das SAP-Commerce-Backoffice kodiert Benutzereingaben unzureichend, wodurch eine Cross-Site-Scripting-Schwachstelle (XSS) entsteht. Bei erfolgreicher Ausnutzung kann ein Angreifer die Vertraulichkeit und Integrität der Anwendung in begrenztem Umfang beeinträchtigen.

7. Score 5.4   (Medium priority)

Nummer: 3503462

[CVE-2013-3587] Schwachstelle im Hinblick auf das Offenlegen von Informationen in SAP Commerce Cloud

Das KMC-Servlet im SAP NetWeaver Enterprise Portal kodiert Benutzereingaben unzureichend, was eine Cross-Site-Scripting-Schwachstelle zur Folge hat. Ein Angreifer könnte ein schädliches Skript erstellen und Benutzer dazu verleiten, darauf zu klicken. Wenn ein registrierter Portalbenutzer einem solchen Link folgt, könnten Vertraulichkeit und Integrität seiner Browsersitzung gefährdet werden.

8.. Score 4.3   (Medium priority)

Nummer: 3520100

[CVE-2024-45277] Prototypverschmutzungs-Schwachstelle im SAP-HANA-Client

Der SAP-HANA-Client weist eine Prototypverschmutzungs-Schwachstelle auf, die unter der Kennung CVE-2024-45277 bekannt ist.

9. Score 4.1  (Medium priority)

Nummer: 3454858 

[CVE-2024-37180] Schwachstelle bezüglich der Offenlegung von Informationen in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Unter bestimmten Umständen erlaubt der SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform einem Angreifer den Zugriff auf remote-fähige Funktionsbausteine, die normalerweise eingeschränkten Berechtigungen unterliegen. Diese Funktion kann verwendet werden, um nicht sensible Informationen zu lesen, was geringe Auswirkungen auf die Vertraulichkeit der Anwendung hat.

Änderungsprotokoll:

v8 (Aktuelle Version) – UPDATE 08. Oktober 2024: Dieser SAP-Hinweis wurde erneut freigegeben, nachdem die manuelle Nacharbeit im Abschnitt „Lösung“ aktualisiert wurde. Der Transaktionscode wurde von SU22 auf SU24 angepasst.

v5 (Vorherige Version) – UPDATE 13. August 2024: Dieser SAP-Hinweis wurde mit neuen Lösungsinformationen aktualisiert und erneut veröffentlicht. Die manuelle Tätigkeit wurde auf die folgenden Releases ausgeweitet:

▪ SAP_BASIS 754 SP00 bis SP08
▪ SAP_BASIS 755 SP00 bis SP06
▪ SAP_BASIS 756 SP00 bis SP04
▪ SAP_BASIS 757 SP00 bis SP02

v3 (Erstveröffentlichung)

Das waren die aktuellen Patches für September 2024. Schnappt euch einen Kaffee und ab ans patchen… Bleibt sicher!