Probablemente existan un millón de cosas equivocadas que puedan hacer los clientes de SAP cuando se trata de la seguridad. He recolectado los errores más críticos que mi equipo ha observado en proyectos de pruebas de penetración SAP en los últimos 10 años.
Aquí está la lista definitiva de los peores pecados:
1. El usuario por defecto SAP* activo
En el momento que un usuario malicioso consigue conexión de red con el mecanismo de login de su sistema SAP (por ej. SAP GUI, BSP, Web Dynpro, RFC) podrá ingresar con el usuario y contraseñas por defecto SAP* y PASS, conseguir privilegios SAP_ALL y tener completo control del sistema SAP.
2. Gateway inseguro
Cualquier usuario malicioso con conexión a la red de su sistema SAP puede ejecutar comandos en el sistema operativo del servidor del sistema SAP. Esto le permite a los atacantes sabotear el servidor, instalar malware o seguir penetrando en su entorno SAP.
3. Parches críticos no aplicados
Los investigadores de seguridad descubren y reportan permanentemente nuevas vulnerabilidades en el SAP estándar. Cuando SAP remedia estas vulnerabilidades, toda persona (maliciosa) puede analizar el parche y deducir un vector de ataque. Si los parches no son instalados a tiempo, sus sistemas corren un alto riesgo.
4. Contraseñas por defecto de usuarios privilegiados que no fueron cambiadas
En el momento que un usuario malicioso se conecte a la red con acceso a los mecanismos de ingreso a su sistema SAP, podrá ingresar con credenciales conocidas de usuarios con altos privilegios como SAP*, DDIC y EARLYWATCH, conseguir privilegios SAP_ALL y tener control completo del sistema SAP.
5. Usuarios con autorización * de S_RFC
Cualquier usuario malicioso con autorización * de S_RFC puede llamar a cualquiera de las más de 34.000 funciones habilitadas para acceso remoto del SAP estándar. Hay muchos módulos de función críticos que permiten crear usuarios, cambiar la configuración del sistema y leer/grabar datos de negocio.
6. Código propio no revisado
El código personalizado puede eludir toda la configuración de seguridad de su sistema SAP. El código propio malicioso es equivalente al acceso SAP_ALL a su sistema y permite a los atacantes tomar control completo. Cualquier código presonalizado usado en el servidor SAP que no haya sido inspeccionado previamente es por lo tanto un riesgo de seguridad muy alto.
7. Solution Manager conectado a Internet
Aunque Solution Manager en sí mismo no contiene información de negocios, es la puerta de entrada a todo el entorno SAP. En el momento que un usuario malicioso consiga acceso a Solution Manager, el entorno completo se debe considerar comprometido. Si este sistema esta conectado a Internet, es solo cuestión de tiempo hasta que sea comprometido.
8. Demasiados servicios ICF activos
Los servicios ICF pueden ser llamados mediante HTTP(S) y por lo tanto ser alcanzados remotamente. Hay muchos servicios ICF peligrosos en el SAP estándar que permiten leer/modificar configuraciones de sistema y leer/grabar datos de negocio. Si un usuario malicioso consigue acceso a estos sevicios, su sistema SAP estará en un gran riesgo.
9. Conexiones de confianza entre sistemas DEV y PROD
Los sistemas de desarrollo (DEV) y de calidad (QA) usualmente no son tan seguros como los sistemas productivos. Si hay conexiones de confianza entre su sistema de desarrollo/QA y sus sistemas productivos, un atacante podría irrumpir en un sistema de desarrollo/QA y desde allí penetrar en su entorno SAP y conseguir acceso a sus sistemas productivos.
Estos son nueve errores mortales. Asegúrese que su compañía no cometa ninguno de ellos.
El pentesting SAP hará que usted duerma más tranquilo.
Traducción: Raúl Batista – Segu-Info
Autor: von Andreas Wiegenstein
Fuente: VirtualForge