La plataforma global e independiente para la comunidad SAP.
Gestión informática, MAG 17-04

Acceso limitado para los supervisores de base

Si quiere proteger sus datos SAP de un uso indebido, también tiene que restringir los derechos de acceso de los administradores de la base SAP. Las pruebas de seguridad realizadas en los clientes demuestran graves deficiencias en este ámbito.
Thomas Kastner, Fragua Virtual
19 abril 2017
Contenido:
Acceso limitado para los supervisores de base
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Con DBACockpit y DB02, los empleados de SAP Basis tienen a su disposición dos transacciones centrales con las que pueden supervisar, controlar, configurar y gestionar las bases de datos SAP.

A través de él se pueden realizar numerosas funciones básicas, como comprobar el estado del sistema y los modos de funcionamiento, ampliar tablas o mantener y actualizar índices.

Además, ambas transacciones contienen el editor de comandos SQL, que permite acceder directamente a las tablas funcionales mediante los denominados comandos Open SQL.

Esto también permite a los usuarios acceder a información crítica para la empresa, como datos de personal y de contabilidad financiera o incluso hashes de contraseñas.

Urgen parches de seguridad para SQL Command Editor

SAP ha suministrado numerosos parches de seguridad para el Editor de comandos SQL. Estos parches de seguridad deben ser observados y aplicados.

Para regular el acceso a los datos SAP, SAP también ha suministrado una nueva autorización (S_TABU_SQL). Esto permite a las empresas definir qué empleados pueden acceder a qué datos SAP. Kastner

Además, se ha implementado una función de seguimiento en el editor de comandos SQL, con la que cada comando -autorizado o no- se registra automáticamente.

Si estos datos de registro se transfieren también a un sistema SIEM (Security Information and Event Management), como SAP Enterprise Threat Detection (ETD), y se analizan allí, las empresas obtienen transparencia sobre todos los accesos que se han producido.

De este modo, los posibles usos indebidos pueden contrarrestarse rápidamente mediante la supervisión y las alertas. Aunque también es necesario, por motivos de protección de datos y cumplimiento de normativas, limitar el acceso de los empleados de SAP Basis Administration, la realidad suele ser diferente.

Por ejemplo, las vulnerabilidades no parcheadas en la función del editor de comandos SQL de DBACOCKPIT y DB02 se identifican repetidamente durante las pruebas de seguridad de SAP en empresas de todos los tamaños y sectores.

De este modo, los administradores de SAP Basis disponen de amplias posibilidades para acceder a datos sensibles de SAP.

Posible adquisición total

Para ilustrar los posibles daños consecuentes, los expertos en pruebas de penetración SAP de Virtual Forge leyeron primero la tabla USR02 que contiene las contraseñas de usuario en un sistema de cliente seleccionado.

Después de que los probadores consiguieran descifrar las contraseñas cifradas con una herramienta de descifrado de contraseñas, pudieron iniciar sesión en el sistema SAP sin problemas y acceder a las mismas funciones para las que estaban autorizados los usuarios individuales.

Las pruebas demostraron: los ataques maliciosos podrían haber llevado a comprometer por completo un sistema SAP.

Por lo tanto, es imperativo que cada empresa usuaria de SAP importe regularmente las Notas de Seguridad, especialmente para el Editor de Comandos SQL.

Además, deben realizarse actualizaciones al menos una vez al año e importarse los paquetes de soporte más recientes, con los que SAP proporciona a los clientes correcciones de errores y ajustes de software exigidos legalmente.

Se recomienda asesoramiento externo

Sin embargo, dado que la mayoría de las empresas no cuentan con expertos en seguridad SAP designados, tiene sentido recurrir a proveedores de servicios externos para la importación periódica de parches de seguridad.

Es esencial que el socio consultor cuente con los conocimientos necesarios en materia de seguridad y SAP, especialmente experiencia en la aplicación de parches, comprensión de las distintas versiones de SAP y de los procedimientos de actualización, así como conocimientos en el ámbito de la detección y prevención de amenazas.

Equipado con estas competencias, el proveedor de seguridad SAP puede ayudar al cliente a evaluar la criticidad de los parches de seguridad. Además, el cliente recibe asesoramiento sobre la selección de las pruebas necesarias para evitar que se produzcan errores de programa y de aplicación al aplicar los parches.

Dado que las pruebas selectivas eliminan la necesidad de realizar pruebas de regresión en todo el sistema SAP, que llevan mucho tiempo, el cliente ahorra mucho tiempo y dinero.

Utilizar las herramientas de forma complementaria

En el ámbito de la prevención, también tiene sentido el uso de herramientas especiales para la detección y corrección de errores en la configuración del sistema SAP específica del cliente.

Con el SystemProfiler de Virtual Forge (alternativamente: con esto), se pueden determinar todos los usuarios que tienen amplias autorizaciones para ejecutar el Editor de Comandos SQL (DB02, DBACOCKPIT) y las autorizaciones de tabla asociadas (S_TABU_SQL).

Si un cliente ha conectado sus sistemas SAP a SAP Solution Manager, las brechas de seguridad y las vulnerabilidades pueden identificarse automáticamente con este tipo de herramientas.

Por ejemplo, también se puede comprobar regularmente para todos los sistemas SAP si se han aplicado todos los parches de seguridad necesarios que eliminan por completo las brechas de seguridad en el Editor de comandos SQL.

https://e3mag.com/partners/virtual-forge-gmbh/

avatar
Thomas Kastner, Fragua Virtual

Thomas Kastner es Director General y propietario de Virtual Forge


Todos los artículos del autor

Escriba un comentario

Informe de Boomi World London: Integración-Plataforma-como-Servicio (iPaaS)

Retraso en la transformación en la comunidad SAP

Núcleo limpio

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.