La plataforma global e independiente para la comunidad SAP.

La importancia del gateway SAP para la seguridad

Como muchos lectores ya sabrán, asegurar el gateway SAP es crucial para la seguridad de los sistemas SAP. Pero, ¿qué puede ocurrir si el gateway se configura de forma incorrecta o insegura?
Chrisitan Schuller, Claranet
22 noviembre 2023
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La siguiente sección utiliza archivos ACL Reginfo y Secinfo inseguros para mostrar qué ataques a sistemas SAP son posibles. Esto no pretende ser una guía para atacar sistemas SAP. Simplemente llama la atención sobre la importancia de la seguridad del gateway RFC para asegurar los sistemas.

Ataque a sistemas con un archivo Reginfo ACL inseguro: Supongamos que nuestro administrador de SAP Basis ha configurado el ACL Reginfo como inseguro. Esto puede hacerse, por ejemplo, mediante una de las siguientes configuraciones: gw/acl_mode = 0 y el archivo Reginfo no existe; gw/sim_mode = 1 (esto elimina la línea implícita "Denegar todo").

Los ataques desde sistemas para los que se introduce una entrada Permitir demasiado abierta en el Reginfo suponen un riesgo. En este caso, un atacante puede registrar cualquier programa en la pasarela. Podrían elegir la siguiente configuración para un ataque: ./program -a IGS. -g -x sapgw

Ataque de devolución de llamada RFC

IGS. se especifica como nombre del TP. El atacante se hace pasar por un servicio de gráficos de Internet (IGS). El programa IGS. es llamado en cuanto el IGS es utilizado por un usuario. 

Un atacante podría explotar este comportamiento para llevar a cabo un ataque de devolución de llamada RFC. Si se llama al servidor registrado (y por tanto al módulo de función implementado), se crea automáticamente un gestor de conexión. El atacante puede utilizar este manejador de conexión para llamar a cualquier otro módulo en el Abap. En la práctica, un atacante podría, por ejemplo, crear un usuario y asignarle SAP_ALL (o autorizaciones comparables). Así pues, este ejemplo aprovecha dos vulnerabilidades de un sistema SAP, ambas frecuentes en la práctica. Una ACL Reginfo bien configurada evitaría el ataque del mismo modo que la seguridad de devolución de llamada RFC correctamente configurada.

Ataque a sistemas con ACL Secinfo insegura: Los ataques a una ACL Secinfo son aún más fáciles de llevar a cabo para un atacante si la configuración es insegura. Los requisitos para un ataque son muy similares a los de Reginfo. Los parámetros de perfil gw/acl_mode = 0 (con archivo secinfo ausente), gw/sim_mode = 1 o una entrada Allow demasiado abierta para un sistema atacante pueden hacer posible un ataque al sistema.

Dmitry Chastuhin (https://github.com/chipik/SAP_GW_RCE_exploit). En el sistema atacado se puede ejecutar cualquier comando del sistema operativo. Sin embargo, un atacante también puede conseguir lo mismo con un sistema SAP normal (como sistema atacante). Con el programa sapxpg se establece una conexión RFC de tipo T con el sistema atacado. A continuación, se crea un comando de SO externo en SM49. Este comando se ejecuta con la conexión RFC-Tipo T en el sistema a atacar. Como estas configuraciones o comandos tienen lugar en el sistema atacante, las comprobaciones de autorización son irrelevantes. Además de una buena segmentación de la red, sólo una buena configuración de Secinfo ofrece protección.

Configuración correcta de Reginfo y Secinfo: La cuestión es cómo se pueden configurar Reginfo y Secinfo de forma segura sin restringir el sistema SAP. La nota SAP 1408081 proporciona un buen marco básico para ello. Estas configuraciones básicas pueden ampliarse posteriormente mediante el análisis de los registros, si es necesario en combinación con el modo de simulación. De este modo se garantiza que Reginfo y Secinfo se configuran correctamente con relativa facilidad.

claranet.de

avatar
Chrisitan Schuller, Claranet


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.