Information und Bildungsarbeit von und für die SAP-Community

Bedeutung des SAP-Gateways für die Sicherheit

Wie vielen Lesern bereits bekannt sein dürfte, ist die Absicherung des SAP-Gateways von entscheidender Bedeutung für die Sicherheit von SAP-Systemen. Aber was kann passieren, wenn das Gateway falsch oder unsicher konfiguriert ist?
Chrisitan Schuller, Claranet
22. November 2023
Inhalt:
avatar

Nachfolgend wird anhand von unsicheren Reginfo- und Secinfo-ACL-Dateien gezeigt, welche Angriffe auf SAP-Systeme möglich sind. Dies soll nicht als eine Anleitung zum Angreifen von SAP-Systemen verstanden werden. Es wird lediglich darauf aufmerksam gemacht, wie wichtig RFC-Gateway-Sicherheit für die Absicherung der Systeme ist.

Angriff auf Systeme mit unsicherer Reginfo-ACL-Datei: Nehmen wir an, dass unser SAP-Basis-Administrator die Reginfo-ACL unsicher eingestellt hat. Das kann beispielsweise durch eine der folgenden Konfigurationen erfolgen: gw/acl_mode = 0 und die Reginfo-Datei existiert nicht; gw/sim_mode = 1 (dadurch wird die implizite „Deny all“-Zeile entfernt).

Bei Angriffen von Systemen, für die ein zu offener Allow-Eintrag in der Reginfo eingetragen ist, besteht Gefahr. In diesem Fall kann ein Angreifer beliebige Programme bei dem Gateway registrieren. Er könnte folgende Konfiguration für einen Angriff wählen: ./programm -a IGS.<SID> -g <IP / Host des angegriffenen Systems> -x sapgw<xx>

RFC-Callback-Angriff

Als TP-Name wird IGS.<SID> angegeben. Der Angreifer gibt sich als Internet Graphics Service (IGS) aus. Das Programm IGS.<SID> wird aufgerufen, sobald der IGS von einem Benutzer verwendet wird. 

Ein Angreifer könnte dieses Verhalten ausnutzen, um einen RFC-Callback-Angriff auszuführen. Wird der registrierte Server (und somit der implementierte Funktionsbaustein) aufgerufen, besteht automatisch ein Verbindungshandle. Mit diesem Verbindungshandle können vom Angreifer beliebige andere Bausteine im Abap aufgerufen werden. In der Praxis würde ein Angreifer beispielsweise einen Benutzer anlegen und diesem Benutzer SAP_ALL (oder vergleichbare Berechtigungen) zuweisen. Bei diesem Beispiel werden somit zwei Schwachstellen eines SAP-Systems ausgenutzt, die beide in der Praxis häufig in Systemen anzutreffen sind. Eine gut konfigurierte Reginfo-ACL würde den Angriff genauso verhindern wie richtig konfigurierte RFC–Callback-Security.

Angriff auf Systeme mit unsicherer Secinfo-ACL: Angriffe auf eine Secinfo-ACL sind für einen Angreifer bei unsicherer Konfiguration noch einfacher durchführbar. Die Anforderungen für einen Angriff sind sehr ähnlich zur Reginfo. Profilparameter gw/acl_mode = 0 (mit fehlender secinfo-Datei), gw/sim_mode = 1 oder ein zu offener Allow-Eintrag für ein Angreifersystem können dazu führen, dass ein Angriff auf das System möglich ist.

Ein Proof of Concept wurde bereits von Dmitry Chastuhin erstellt (https://github.com/chipik/SAP_GW_RCE_exploit). Dabei kann ein beliebiges Betriebssystemkommando auf dem angegriffenen System ausgeführt werden. Das Gleiche kann ein Angreifer aber auch mit einem normalen SAP-System erreichen (als Angreifer-System). Dabei wird eine Type-T-RFC-Verbindung zum angegriffenen System mit dem Programm sapxpg eingerichtet. Als Nächstes wird in SM49 ein externes OS-Kommando angelegt. Dieses Kommando wird mit der RFC-Type-T-Verbindung auf dem anzugreifenden System ausgeführt. Da diese Einstellungen beziehungsweise Kommandos auf dem Angreifer-System stattfinden, sind Berechtigungschecks irrelevant. Einen Schutz bietet neben guter Netzwerk-Segmentierung nur eine gute Secinfo-Konfiguration.

Richtige Konfiguration von Reginfo und Secinfo: Fraglich ist, wie Reginfo und Secinfo sicher einzurichten sind, ohne dass es zu einer Einschränkung des SAP-Systems kommt. SAP-Note 1408081 bietet dafür ein gutes Grundgerüst. Diese Grundeinstellungen können anschließend durch Protokollanalyse gegebenenfalls in Kombination mit dem Simulationsmodus erweitert werden. Dadurch wird erreicht, dass Reginfo und Secinfo relativ einfach richtig konfiguriert werden.

claranet.de

avatar
Chrisitan Schuller, Claranet


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb. Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Mit Ausstellung, Fachvorträgen und viel Gesprächsbedarf erwarten wir wieder zahlreiche Bestandskunden, Partner und Experten in Salzburg. Das E3-Magazin ladet zum Lernen und Ideenaustausch am 5. und 6. Juni 2024 nach Salzburg ein.

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Tickets

Early-Bird-Ticket - Erhältlich bis 29.03.2024
EUR 440 exkl. USt
Regular Ticket
EUR 590 exkl. USt

Jetzt Early-Bird-Ticket sichern!

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.