Acceso limitado para los supervisores de base
Con DBACockpit y DB02, los empleados de SAP Basis tienen a su disposición dos transacciones centrales con las que pueden supervisar, controlar, configurar y gestionar las bases de datos SAP.
A través de él se pueden realizar numerosas funciones básicas, como comprobar el estado del sistema y los modos de funcionamiento, ampliar tablas o mantener y actualizar índices.
Además, ambas transacciones contienen el editor de comandos SQL, que permite acceder directamente a las tablas funcionales mediante los denominados comandos Open SQL.
Esto también permite a los usuarios acceder a información crítica para la empresa, como datos de personal y de contabilidad financiera o incluso hashes de contraseñas.
Urgen parches de seguridad para SQL Command Editor
SAP ha suministrado numerosos parches de seguridad para el Editor de comandos SQL. Estos parches de seguridad deben ser observados y aplicados.
Para regular el acceso a los datos SAP, SAP también ha suministrado una nueva autorización (S_TABU_SQL). Esto permite a las empresas definir qué empleados pueden acceder a qué datos SAP.
Además, se ha implementado una función de seguimiento en el editor de comandos SQL, con la que cada comando -autorizado o no- se registra automáticamente.
Si estos datos de registro se transfieren también a un sistema SIEM (Security Information and Event Management), como SAP Enterprise Threat Detection (ETD), y se analizan allí, las empresas obtienen transparencia sobre todos los accesos que se han producido.
De este modo, los posibles usos indebidos pueden contrarrestarse rápidamente mediante la supervisión y las alertas. Aunque también es necesario, por motivos de protección de datos y cumplimiento de normativas, limitar el acceso de los empleados de SAP Basis Administration, la realidad suele ser diferente.
Por ejemplo, las vulnerabilidades no parcheadas en la función del editor de comandos SQL de DBACOCKPIT y DB02 se identifican repetidamente durante las pruebas de seguridad de SAP en empresas de todos los tamaños y sectores.
De este modo, los administradores de SAP Basis disponen de amplias posibilidades para acceder a datos sensibles de SAP.
Posible adquisición total
Para ilustrar los posibles daños consecuentes, los expertos en pruebas de penetración SAP de Virtual Forge leyeron primero la tabla USR02 que contiene las contraseñas de usuario en un sistema de cliente seleccionado.
Después de que los probadores consiguieran descifrar las contraseñas cifradas con una herramienta de descifrado de contraseñas, pudieron iniciar sesión en el sistema SAP sin problemas y acceder a las mismas funciones para las que estaban autorizados los usuarios individuales.
Las pruebas demostraron: los ataques maliciosos podrían haber llevado a comprometer por completo un sistema SAP.
Por lo tanto, es imperativo que cada empresa usuaria de SAP importe regularmente las Notas de Seguridad, especialmente para el Editor de Comandos SQL.
Además, deben realizarse actualizaciones al menos una vez al año e importarse los paquetes de soporte más recientes, con los que SAP proporciona a los clientes correcciones de errores y ajustes de software exigidos legalmente.
Se recomienda asesoramiento externo
Sin embargo, dado que la mayoría de las empresas no cuentan con expertos en seguridad SAP designados, tiene sentido recurrir a proveedores de servicios externos para la importación periódica de parches de seguridad.
Es esencial que el socio consultor cuente con los conocimientos necesarios en materia de seguridad y SAP, especialmente experiencia en la aplicación de parches, comprensión de las distintas versiones de SAP y de los procedimientos de actualización, así como conocimientos en el ámbito de la detección y prevención de amenazas.
Equipado con estas competencias, el proveedor de seguridad SAP puede ayudar al cliente a evaluar la criticidad de los parches de seguridad. Además, el cliente recibe asesoramiento sobre la selección de las pruebas necesarias para evitar que se produzcan errores de programa y de aplicación al aplicar los parches.
Dado que las pruebas selectivas eliminan la necesidad de realizar pruebas de regresión en todo el sistema SAP, que llevan mucho tiempo, el cliente ahorra mucho tiempo y dinero.
Utilizar las herramientas de forma complementaria
En el ámbito de la prevención, también tiene sentido el uso de herramientas especiales para la detección y corrección de errores en la configuración del sistema SAP específica del cliente.
Con el SystemProfiler de Virtual Forge (alternativamente: con esto), se pueden determinar todos los usuarios que tienen amplias autorizaciones para ejecutar el Editor de Comandos SQL (DB02, DBACOCKPIT) y las autorizaciones de tabla asociadas (S_TABU_SQL).
Si un cliente ha conectado sus sistemas SAP a SAP Solution Manager, las brechas de seguridad y las vulnerabilidades pueden identificarse automáticamente con este tipo de herramientas.
Por ejemplo, también se puede comprobar regularmente para todos los sistemas SAP si se han aplicado todos los parches de seguridad necesarios que eliminan por completo las brechas de seguridad en el Editor de comandos SQL.