{"id":128752,"date":"2023-07-04T08:00:00","date_gmt":"2023-07-04T06:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=128752"},"modified":"2024-01-19T11:46:00","modified_gmt":"2024-01-19T10:46:00","slug":"incertidumbre-en-el-paisaje-sap","status":"publish","type":"post","link":"https:\/\/e3mag.com\/es\/unsicherheit-in-der-sap-landschaft\/","title":{"rendered":"(In)seguridad en el entorno SAP"},"content":{"rendered":"

La respuesta puede encontrarse en el entorno SAP, o m\u00e1s bien en los sistemas Q y Dev, los gestores de soluciones y los sistemas heredados, as\u00ed como en los clientes de los usuarios, que los auditores no ten\u00edan a la vista. Las configuraciones incompletas o incorrectas dentro del entorno SAP pueden, en \u00faltima instancia, poner en peligro los sistemas clasificados como seguros.<\/p>\n\n\n\n

Dos escenarios ejemplares ilustran los t\u00edpicos \"ataques laterales\" a sistemas aparentemente muy seguros y productivos. A trav\u00e9s de ellos, un atacante puede obtener un amplio acceso sin explotar una vulnerabilidad o una configuraci\u00f3n err\u00f3nea en el sistema objetivo.<\/p>\n\n\n\n

Ataques a trav\u00e9s del lugar de trabajo<\/h3>\n\n\n\n

El primer escenario describe el camino a trav\u00e9s del PC de un usuario hasta el productivo y altamente seguro sistema SAP: ya sea phishing, ransomware, campa\u00f1as APT o la pr\u00f3xima oleada de malware como WannaCry, desgraciadamente ocurre una y otra vez en las empresas que los PC de los clientes son secuestrados y controlados remotamente a pesar de todas las medidas de protecci\u00f3n como programas antivirus o cortafuegos.<\/p>\n\n\n\n

Una vez que los atacantes tienen el control de un cliente, el acceso se extiende r\u00e1pidamente a otros clientes (movimiento lateral). Es s\u00f3lo cuesti\u00f3n de tiempo que un atacante controle el cliente de un administrador de SAP Basis o de un usuario. Porque es mucho m\u00e1s f\u00e1cil acceder mediante ataques a los sistemas Windows y al usuario que atacar directamente al sistema SAP.<\/p>\n\n\n\n

Adem\u00e1s, muchas empresas utilizan el inicio de sesi\u00f3n \u00fanico (SSO) para la autenticaci\u00f3n con el fin de eliminar las contrase\u00f1as. Mientras no se utilice la autenticaci\u00f3n de 2 factores, el SSO es muy adecuado para los atacantes como puerta de entrada al sistema SAP, \u00a1y sin una sola contrase\u00f1a! Porque mientras el atacante est\u00e9 en el contexto del administrador SAP en su PC, el mecanismo SSO maneja la autenticaci\u00f3n en segundo plano, y el atacante puede acceder al sistema SAP directamente y sin m\u00e1s esfuerzo en el contexto del usuario administrador. Unos pocos scripts Powershell y una conexi\u00f3n RFC al sistema SAP es todo lo que el atacante necesita para obtener acceso.<\/p>\n\n\n\n

Autenticaci\u00f3n de 2 factores<\/h3>\n\n\n\n

Para protegerse eficazmente contra este tipo de ataques, la autenticaci\u00f3n de 2 factores es absolutamente necesaria. En el segundo escenario, los destinos RFC entre los sistemas SAP desempe\u00f1an un papel decisivo. Cada vez que hay que probar nuevas funciones o versiones, no falta un sistema sandbox. A menudo se copia aqu\u00ed el sistema productivo completo para permitir una prueba realista. <\/p>\n\n\n\n

Los desarrolladores o probadores tienen m\u00e1s derechos en el sistema sandbox para identificar y resolver r\u00e1pidamente los problemas. Pero este sistema sandbox puede llevar r\u00e1pidamente a la ca\u00edda del sistema productivo, calificado como altamente seguro. Esto puede suceder tan pronto como un m\u00f3dulo de funci\u00f3n remota para el restablecimiento de contrase\u00f1a y un destino RFC a un sistema productivo puede ser seleccionado. Un usuario objetivo seleccionado recibe entonces una nueva contrase\u00f1a - y el atacante puede acceder al sistema productivo sin obst\u00e1culos. Estos ataques pueden evitarse no permitiendo sistem\u00e1ticamente conexiones privilegiadas desde sistemas \"inferiores\" a sistemas \"superiores\". Adem\u00e1s, todos los destinos RFC cr\u00edticos deben eliminarse del sandbox tras la copia del sistema.<\/p>\n\n\n\n

Incluso los sistemas muy seguros pueden verse comprometidos con poco esfuerzo. Para evaluar la seguridad del sistema, debe comprobarse todo el entorno SAP. Comprobar s\u00f3lo los sistemas productivos o s\u00f3lo la l\u00ednea ERP conduce a una evaluaci\u00f3n incompleta. Es importante disponer de un software de auditor\u00eda que realice este trabajo hol\u00edstico. S\u00f3lo quien tiene una visi\u00f3n de conjunto de su entorno SAP puede identificar y prevenir eficazmente los ataques laterales a los sistemas cr\u00edticos.<\/p>\n\n\n\n

werth-it.de<\/a><\/p>","protected":false},"excerpt":{"rendered":"

La buena noticia: los sistemas SAP productivos sobrevivieron a todos los controles de los auditores y desesperaron a los encargados de las pruebas de penetraci\u00f3n. Y entonces: un atacante ha secuestrado el sistema de alta seguridad.<\/p>","protected":false},"author":5062,"featured_media":2451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"0","footnotes":""},"categories":[21,43065],"tags":[15055,31057,1790,43067,236,41787],"coauthors":[43294],"class_list":["post-128752","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-mag-23-06","tag-cyberattacken","tag-cybercrime","tag-it-security","tag-mag-23-06","tag-sap","tag-security-experte","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Die gute Nachricht: Die produktiven SAP-Systeme haben alle Checks der Wirtschaftspr\u00fcfer \u00fcberstanden und die Penetrationstester zur Verzweiflung getrieben. Und dann: Ein Angreifer hat das hochsichere System gekapert.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Mag 23-06<\/a>","author_info_v2":{"name":"Thomas Werth, Werth IT","url":"https:\/\/e3mag.com\/es\/author\/thomas-werth\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/128752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/5062"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=128752"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/128752\/revisions"}],"predecessor-version":[{"id":131009,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/128752\/revisions\/131009"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/2451"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=128752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=128752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=128752"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=128752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}