Probablemente
existan un millón de cosas equivocadas que puedan hacer los clientes de
SAP cuando se trata de la
seguridad. He recolectado los errores más
críticos que mi equipo ha observado en proyectos de pruebas de
penetración SAP en los últimos 10 años.
Aquí está la lista definitiva de los peores
pecados:
1. El usuario por defecto SAP* activo
En el momento que un usuario malicioso consigue conexión de red con el
mecanismo de login de su sistema SAP (por ej. SAP GUI, BSP, Web Dynpro,
RFC) podrá ingresar con el usuario y contraseñas por defecto SAP* y
PASS, conseguir privilegios SAP_ALL y tener completo control del sistema
SAP.
2. Gateway inseguro
Cualquier usuario malicioso con conexión a la red de su sistema SAP
puede ejecutar comandos en el sistema operativo del servidor del sistema
SAP. Esto le permite a los atacantes sabotear el servidor, instalar
malware o seguir penetrando en su entorno SAP.
3. Parches críticos no aplicados
Los...
Continuar leyendo
