Probablemente
existan un millón de cosas equivocadas que puedan hacer los clientes de
SAP cuando se trata de la
seguridad. He recolectado los errores más
críticos que mi equipo ha observado en proyectos de pruebas de
penetración SAP en los últimos 10 años.
Aquí está la lista definitiva de los peores
pecados:
1. El usuario por defecto SAP* activo
En el momento que un usuario malicioso consigue conexión de red con el
mecanismo de login de su sistema SAP (por ej. SAP GUI, BSP, Web Dynpro,
RFC) podrá ingresar con el usuario y contraseñas por defecto SAP* y
PASS, conseguir privilegios SAP_ALL y tener completo control del sistema
SAP.
2. Gateway inseguro
Cualquier usuario malicioso con conexión a la red de su sistema SAP
puede ejecutar comandos en el sistema operativo del servidor del sistema
SAP. Esto le permite a los atacantes sabotear el servidor, instalar
malware o seguir penetrando en su entorno SAP.
3. Parches críticos no aplicados
Los investigadores de
seguridad descubren y reportan permanentemente
nuevas vulnerabilidades en el SAP estándar. Cuando SAP remedia estas
vulnerabilidades, toda persona (maliciosa) puede analizar el parche y
deducir un vector de ataque. Si los parches no son instalados a tiempo,
sus sistemas corren un alto riesgo.
4. Contraseñas por defecto de usuarios privilegiados que no fueron cambiadas
En el momento que un usuario malicioso se conecte a la red con acceso a
los mecanismos de ingreso a su sistema SAP, podrá ingresar con
credenciales conocidas de usuarios con altos privilegios como SAP*, DDIC
y EARLYWATCH, conseguir privilegios SAP_ALL y tener control completo
del sistema SAP.
5. Usuarios con autorización * de S_RFC
Cualquier usuario malicioso con autorización * de S_RFC puede llamar a
cualquiera de las más de 34.000 funciones habilitadas para acceso remoto
del SAP estándar. Hay muchos módulos de función críticos que permiten
crear usuarios, cambiar la configuración del sistema y leer/grabar datos
de negocio.
6. Código propio no revisado
El código personalizado puede eludir toda la configuración de seguridad
de su sistema SAP. El código propio malicioso es equivalente al acceso
SAP_ALL a su sistema y permite a los atacantes tomar control completo.
Cualquier código presonalizado usado en el servidor SAP que no haya sido
inspeccionado previamente es por lo tanto un riesgo de
seguridad muy
alto.
7. Solution Manager conectado a Internet
Aunque Solution Manager en sí mismo no contiene información de negocios,
es la puerta de entrada a todo el entorno SAP. En el momento que un
usuario malicioso consiga acceso a Solution Manager, el entorno completo
se debe considerar comprometido. Si este sistema esta conectado a
Internet, es solo cuestión de tiempo hasta que sea comprometido.
8. Demasiados servicios ICF activos
Los servicios ICF pueden ser llamados mediante HTTP(S) y por lo tanto
ser alcanzados remotamente. Hay muchos servicios ICF peligrosos en el
SAP estándar que permiten leer/modificar configuraciones de sistema y
leer/grabar datos de negocio. Si un usuario malicioso consigue acceso a
estos sevicios, su sistema SAP estará en un gran riesgo.
9. Conexiones de confianza entre sistemas DEV y PROD
Los sistemas de desarrollo (DEV) y de calidad (QA) usualmente no son tan
seguros como los sistemas productivos. Si hay conexiones de confianza
entre su sistema de desarrollo/QA y sus sistemas productivos, un
atacante podría irrumpir en un sistema de desarrollo/QA y desde allí
penetrar en su entorno SAP y conseguir acceso a sus sistemas
productivos.
Estos son nueve errores
mortales. Asegúrese que su compañía no cometa ninguno de ellos.
El pentesting SAP hará que usted duerma más tranquilo.
Traducción:
Raúl Batista -
Segu-Info
Autor:
von Andreas Wiegenstein
Fuente:
VirtualForge
