La plataforma global e independiente para la comunidad SAP.

La importancia del gateway SAP para la seguridad

Como muchos lectores ya sabrán, asegurar el gateway SAP es crucial para la seguridad de los sistemas SAP. Pero, ¿qué puede ocurrir si el gateway se configura de forma incorrecta o insegura?
Chrisitan Schuller, Claranet
22 noviembre 2023
Contenido:
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La siguiente sección utiliza archivos ACL Reginfo y Secinfo inseguros para mostrar qué ataques a sistemas SAP son posibles. Esto no pretende ser una guía para atacar sistemas SAP. Simplemente llama la atención sobre la importancia de la seguridad del gateway RFC para asegurar los sistemas.

Ataque a sistemas con un archivo Reginfo ACL inseguro: Supongamos que nuestro administrador de SAP Basis ha configurado el ACL Reginfo como inseguro. Esto puede hacerse, por ejemplo, mediante una de las siguientes configuraciones: gw/acl_mode = 0 y el archivo Reginfo no existe; gw/sim_mode = 1 (esto elimina la línea implícita "Denegar todo").

Los ataques desde sistemas para los que se introduce una entrada Permitir demasiado abierta en el Reginfo suponen un riesgo. En este caso, un atacante puede registrar cualquier programa en la pasarela. Podrían elegir la siguiente configuración para un ataque: ./program -a IGS. -g -x sapgw

Ataque de devolución de llamada RFC

IGS. se especifica como nombre del TP. El atacante se hace pasar por un servicio de gráficos de Internet (IGS). El programa IGS. es llamado en cuanto el IGS es utilizado por un usuario. 

Un atacante podría explotar este comportamiento para llevar a cabo un ataque de devolución de llamada RFC. Si se llama al servidor registrado (y por tanto al módulo de función implementado), se crea automáticamente un gestor de conexión. El atacante puede utilizar este manejador de conexión para llamar a cualquier otro módulo en el Abap. En la práctica, un atacante podría, por ejemplo, crear un usuario y asignarle SAP_ALL (o autorizaciones comparables). Así pues, este ejemplo aprovecha dos vulnerabilidades de un sistema SAP, ambas frecuentes en la práctica. Una ACL Reginfo bien configurada evitaría el ataque del mismo modo que la seguridad de devolución de llamada RFC correctamente configurada.

Ataque a sistemas con ACL Secinfo insegura: Los ataques a una ACL Secinfo son aún más fáciles de llevar a cabo para un atacante si la configuración es insegura. Los requisitos para un ataque son muy similares a los de Reginfo. Los parámetros de perfil gw/acl_mode = 0 (con archivo secinfo ausente), gw/sim_mode = 1 o una entrada Allow demasiado abierta para un sistema atacante pueden hacer posible un ataque al sistema.

Dmitry Chastuhin (https://github.com/chipik/SAP_GW_RCE_exploit). En el sistema atacado se puede ejecutar cualquier comando del sistema operativo. Sin embargo, un atacante también puede conseguir lo mismo con un sistema SAP normal (como sistema atacante). Con el programa sapxpg se establece una conexión RFC de tipo T con el sistema atacado. A continuación, se crea un comando de SO externo en SM49. Este comando se ejecuta con la conexión RFC-Tipo T en el sistema a atacar. Como estas configuraciones o comandos tienen lugar en el sistema atacante, las comprobaciones de autorización son irrelevantes. Además de una buena segmentación de la red, sólo una buena configuración de Secinfo ofrece protección.

Configuración correcta de Reginfo y Secinfo: La cuestión es cómo se pueden configurar Reginfo y Secinfo de forma segura sin restringir el sistema SAP. La nota SAP 1408081 proporciona un buen marco básico para ello. Estas configuraciones básicas pueden ampliarse posteriormente mediante el análisis de los registros, si es necesario en combinación con el modo de simulación. De este modo se garantiza que Reginfo y Secinfo se configuran correctamente con relativa facilidad.

claranet.de

avatar
Chrisitan Schuller, Claranet


Escriba un comentario

El trabajo sobre la base de SAP es decisivo para el éxito de la conversión a S/4. Esto confiere al denominado Competence Centre una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como la automatización, la supervisión, la seguridad, la gestión del ciclo de vida de las aplicaciones y la gestión de datos son la base para el funcionamiento operativo de S/4. Por segunda vez, E3 Magazine organiza una cumbre en Salzburgo para que la comunidad SAP obtenga información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Con una exposición, presentaciones especializadas y mucho de lo que hablar, esperamos de nuevo a numerosos clientes, socios y expertos en Salzburgo. E3 Magazine le invita a Salzburgo para aprender e intercambiar ideas los días 5 y 6 de junio de 2024.

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entradas

Entrada anticipada - Disponible hasta el 29.03.2024
440 EUR sin IVA
Billete normal
590 EUR sin IVA

Consiga ya su entrada anticipada

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.