En los cursos básicos de SAP podemos aprender que para cualquier actividad en un sistema, se necesita un usuario con permisos correspondientes. Los hacks correspondientes se basan en los siguientes pasos:

1.       Cómo encontrar sistemas SAP y establecer una conexión.

2.       La problemática de usuarios estándar y passwords públicos.

3.       Dónde se encuentran usuarios y passwords para sistemas críticos.

4.       Cómo se aprovecha un usuario con pocos privilegios para conseguir mucho.

5.       Una vulnerabilidad famosa para conquistar un sistema SAP sin usuario.

Prólogo

Revisaremos el hacking SAP para un escenario black-box, lo cual significa, que discutimos todos los obstáculos, que una persona externa sin información interna sobre el cliente de SAP debe que superar. Aunque la mayoría de los ataques – se estima un 70% – proviene desde dentro de las mismas organizaciones y su ambiente de empleados, proveedores y clientes, principalmente por qué tienen más motivación, además tendrán información y accesos útiles.

En general se subestima la ventaja que da una negligencia, una información o un acceso limitado a un atacante – el ejemplo clásico y más impresionante es el descifrado de la famoso máquina de encriptación basada en el hallazgo, al parecer marginal, que ninguna letra se convirtió en su mismo. En un entorno típico de SAP existen miles de usuarios, con privilegios limitados y auditados en los sistemas SAP de producción. Pero también hay que contemplar los miles usuarios de la red corporativa y las centenas de usuarios internos y externos en sistemas SAP de desarrollo o test, donde se implementan típicamente muchos privilegios y pocas defensas, a pesar de tener datos reales y alta integración técnica con otros entornos, normalmente de calidad “trusted”.

Conectarse a un sistema SAP:

Muchos sistemas SAP son accesibles a través el internet. Sus URLs tienen cadenas típicas, que encontramos con Google, e.g. “inurl:/irj/portal/anonymous” para el Portal SAP. En una red empresarial se sabe normalmente los IP de todos los sistemas SAP, porque el SAPGUI se entrega con los parámetros (IP y port) de todos los sistemas SAP, aunque usuarios no están proporcionados. Alternativamente se pueden determinar los IP a través las huellas de sus servidores, que comunican en ports 32xy y 36xy. El SAPGUI y varios development kits son gratuitamente disponibles en el internet y fácilmente de configurar con IP / nombre de servidor y port (instancia), por lo cual es fácil llegar al paso log-on.

Usuarios estándar:

Para conectarse en diálogo o por remote function call a un sistema SAP hay que tener usuario y password. Tanto por parte de SAP como por parte de los clientes SAP existen negligencias reveladoras, que resultan en la frecuente situación, que usuarios y passwords públicos de SAP – unos los mismos desde hace 25 años – permiten un login con permisos extensos, especialmente en los menospreciados sistemas de test, sandbox, formación.

Archivos de Usuarios y Passwords dentro de SAP

Para conseguir usuario y password de un sistema SAP de producción presentamos 3 opciones sencillas, que funcionan con frecuencia en estos sistemas descuidados de test y formación – típicamente fabricados por copias parciales de sistemas productivos:

a)       Usuario y password grabado en el catálogo de conexiones remotas.

b)      Hard-coded usuario y password en el código ABAP de cliente.

c)       Antiguos hashes de password en campo BCODE, lo cual permite descifrado de passwords.

Yes, you can - Los verdaderos límites de usuarios

Los auditores de seguridad analizan con gran detalle la asignación de permisos explícitos para verificar una correcta segregación de funciones. Pero hay miles de opciones de ejecutar procesos en SAP sin tener el permiso “oficial” correspondiente. Por un lado, hay permisos killer como “developer”, pero también funciones killer como upload, code injection, debugger, OS injection, SQL injection tanto en el código de cliente como en el código estándar de SAP. Por otro lado, se puede llamar la mayoría de funciones de la librería ABAP remotamente y en este caso se precisa típicamente nada más que un permiso común de llamada remota, pero ninguno de los miles permisos funcionales.

El Gateway hack – el genio de la lámpara

Otra vulnerabilidad más técnica y un verdadero atajo a todo el rollo con usuarios y passwords es el ya famoso SAP Gateway Exploit. El Gateway sirve para conectar los sistemas SAP a otros programas, e.g. un servicio web. Es el genio de la lámpara en ataques a SAP: recibe instrucciones de otra instancia y los ejecuta con permisos de super user; no requiere usuario, ni password, ni tiene un sistema de permisos. Para aprovecharlo hay que llenar una pantalla amigable de SAP con datos de conexión y los comandos / scripts para ejecutar. Por supuesto es igualmente fácil restringir el acceso a la lámpara y existen notas de SAP relacionadas, pero con frecuencia encontramos sistemas accesibles por este camino publicado por la propia SAP ya en 2012.

Fuente de vulnerabilidades

El rol de SAP

El equipo SAP sigue con orgullo su cultura de lugareño alemán de 1992. Su política de marketing se basa en tener sistemas seguros y nada complejos. Adicionalmente, SAP tiene un dilema con la comunicación de instrucciones para mejorar la seguridad por sus canales de naturaleza pública (Service Marketplace). Debido a la transparencia de sistemas SAP, existe una elevada preocupación de publicar no solamente corrección, pero también manera de explotación de vulnerabilidades. Eso explica, por qué sus clientes comentan, que no entienden bien las notas de seguridad de SAP, en particular los riesgos relacionados.

El rol de clientes SAP

Muchos clientes SAP seleccionan el proveedor más barato para mantener su infraestructura crítica en un plan Factory; esto puede significar profesionalismo, pero al mismo tiempo una gran rotación de personal, que conlleva falta de consciencia sobre el objeto de su trabajo y muchas veces también falta de especialización. Causa vértigo leer las discusiones en los foros de las redes profesionales en el estilo “trasplante de órganos para principiantes”. Proteger nuestros sistemas SAP requiere un presupuesto, un plan y dedicación. Si bien es cierto que encontramos mucha información sobre ataques y protección de SAP en internet, esto no puede sustituir la colaboración con especialistas precavidos en un esquema de 4-ojos.