(In)seguridad en el entorno SAP
La respuesta puede encontrarse en el entorno SAP, o más bien en los sistemas Q y Dev, los gestores de soluciones y los sistemas heredados, así como en los clientes de los usuarios, que los auditores no tenían a la vista. Las configuraciones incompletas o incorrectas dentro del entorno SAP pueden, en última instancia, poner en peligro los sistemas clasificados como seguros.
Dos escenarios ejemplares ilustran los típicos "ataques laterales" a sistemas aparentemente muy seguros y productivos. A través de ellos, un atacante puede obtener un amplio acceso sin explotar una vulnerabilidad o una configuración errónea en el sistema objetivo.
Ataques a través del lugar de trabajo
El primer escenario describe el camino a través del PC de un usuario hasta el productivo y altamente seguro sistema SAP: ya sea phishing, ransomware, campañas APT o la próxima oleada de malware como WannaCry, desgraciadamente ocurre una y otra vez en las empresas que los PC de los clientes son secuestrados y controlados remotamente a pesar de todas las medidas de protección como programas antivirus o cortafuegos.
Una vez que los atacantes tienen el control de un cliente, el acceso se extiende rápidamente a otros clientes (movimiento lateral). Es sólo cuestión de tiempo que un atacante controle el cliente de un administrador de SAP Basis o de un usuario. Porque es mucho más fácil acceder mediante ataques a los sistemas Windows y al usuario que atacar directamente al sistema SAP.
Además, muchas empresas utilizan el inicio de sesión único (SSO) para la autenticación con el fin de eliminar las contraseñas. Mientras no se utilice la autenticación de 2 factores, el SSO es muy adecuado para los atacantes como puerta de entrada al sistema SAP, ¡y sin una sola contraseña! Porque mientras el atacante esté en el contexto del administrador SAP en su PC, el mecanismo SSO maneja la autenticación en segundo plano, y el atacante puede acceder al sistema SAP directamente y sin más esfuerzo en el contexto del usuario administrador. Unos pocos scripts Powershell y una conexión RFC al sistema SAP es todo lo que el atacante necesita para obtener acceso.
Autenticación de 2 factores
Para protegerse eficazmente contra este tipo de ataques, la autenticación de 2 factores es absolutamente necesaria. En el segundo escenario, los destinos RFC entre los sistemas SAP desempeñan un papel decisivo. Cada vez que hay que probar nuevas funciones o versiones, no falta un sistema sandbox. A menudo se copia aquí el sistema productivo completo para permitir una prueba realista.
Los desarrolladores o probadores tienen más derechos en el sistema sandbox para identificar y resolver rápidamente los problemas. Pero este sistema sandbox puede llevar rápidamente a la caída del sistema productivo, calificado como altamente seguro. Esto puede suceder tan pronto como un módulo de función remota para el restablecimiento de contraseña y un destino RFC a un sistema productivo puede ser seleccionado. Un usuario objetivo seleccionado recibe entonces una nueva contraseña - y el atacante puede acceder al sistema productivo sin obstáculos. Estos ataques pueden evitarse no permitiendo sistemáticamente conexiones privilegiadas desde sistemas "inferiores" a sistemas "superiores". Además, todos los destinos RFC críticos deben eliminarse del sandbox tras la copia del sistema.
Incluso los sistemas muy seguros pueden verse comprometidos con poco esfuerzo. Para evaluar la seguridad del sistema, debe comprobarse todo el entorno SAP. Comprobar sólo los sistemas productivos o sólo la línea ERP conduce a una evaluación incompleta. Es importante disponer de un software de auditoría que realice este trabajo holístico. Sólo quien tiene una visión de conjunto de su entorno SAP puede identificar y prevenir eficazmente los ataques laterales a los sistemas críticos.
