La importancia del gateway SAP para la seguridad
La siguiente sección utiliza archivos ACL Reginfo y Secinfo inseguros para mostrar qué ataques a sistemas SAP son posibles. Esto no pretende ser una guía para atacar sistemas SAP. Simplemente llama la atención sobre la importancia de la seguridad del gateway RFC para asegurar los sistemas.
Ataque a sistemas con un archivo Reginfo ACL inseguro: Supongamos que nuestro administrador de SAP Basis ha configurado el ACL Reginfo como inseguro. Esto puede hacerse, por ejemplo, mediante una de las siguientes configuraciones: gw/acl_mode = 0 y el archivo Reginfo no existe; gw/sim_mode = 1 (esto elimina la línea implícita "Denegar todo").
Los ataques desde sistemas para los que se introduce una entrada Permitir demasiado abierta en el Reginfo suponen un riesgo. En este caso, un atacante puede registrar cualquier programa en la pasarela. Podrían elegir la siguiente configuración para un ataque: ./program -a IGS. -g -x sapgw
Ataque de devolución de llamada RFC
IGS. se especifica como nombre del TP. El atacante se hace pasar por un servicio de gráficos de Internet (IGS). El programa IGS. es llamado en cuanto el IGS es utilizado por un usuario.
Un atacante podría explotar este comportamiento para llevar a cabo un ataque de devolución de llamada RFC. Si se llama al servidor registrado (y por tanto al módulo de función implementado), se crea automáticamente un gestor de conexión. El atacante puede utilizar este manejador de conexión para llamar a cualquier otro módulo en el Abap. En la práctica, un atacante podría, por ejemplo, crear un usuario y asignarle SAP_ALL (o autorizaciones comparables). Así pues, este ejemplo aprovecha dos vulnerabilidades de un sistema SAP, ambas frecuentes en la práctica. Una ACL Reginfo bien configurada evitaría el ataque del mismo modo que la seguridad de devolución de llamada RFC correctamente configurada.
Ataque a sistemas con ACL Secinfo insegura: Los ataques a una ACL Secinfo son aún más fáciles de llevar a cabo para un atacante si la configuración es insegura. Los requisitos para un ataque son muy similares a los de Reginfo. Los parámetros de perfil gw/acl_mode = 0 (con archivo secinfo ausente), gw/sim_mode = 1 o una entrada Allow demasiado abierta para un sistema atacante pueden hacer posible un ataque al sistema.
Dmitry Chastuhin (https://github.com/chipik/SAP_GW_RCE_exploit). En el sistema atacado se puede ejecutar cualquier comando del sistema operativo. Sin embargo, un atacante también puede conseguir lo mismo con un sistema SAP normal (como sistema atacante). Con el programa sapxpg se establece una conexión RFC de tipo T con el sistema atacado. A continuación, se crea un comando de SO externo en SM49. Este comando se ejecuta con la conexión RFC-Tipo T en el sistema a atacar. Como estas configuraciones o comandos tienen lugar en el sistema atacante, las comprobaciones de autorización son irrelevantes. Además de una buena segmentación de la red, sólo una buena configuración de Secinfo ofrece protección.
Configuración correcta de Reginfo y Secinfo: La cuestión es cómo se pueden configurar Reginfo y Secinfo de forma segura sin restringir el sistema SAP. La nota SAP 1408081 proporciona un buen marco básico para ello. Estas configuraciones básicas pueden ampliarse posteriormente mediante el análisis de los registros, si es necesario en combinación con el modo de simulación. De este modo se garantiza que Reginfo y Secinfo se configuran correctamente con relativa facilidad.
