// // 2 comentarios

Errores críticos (y mortales) en cuanto a Seguridad SAP

Errores de Seguridad SAPA través de Segu.info me entero que Andreas Wiegenstein a través de virtualforge.com ha escrito un artículo donde describe los 9 errores críticos (denominados como pecados mortales) que se comenten respecto a la seguridad en SAP. De acuerdo al autor, hay problablemente más de un millón de cosas que los clientes de SAP pueden hacer respecto a la seguridad, pero ha recopilado los más críticos que ha observado a lo largo de 10 años brindando pruebas de penetración a la seguridad de SAP de diversos clientes.






Los 9 errores más críticos en cuanto a seguridad SAP

  1. Hard-coded SAP* user active
  2. Insecure gateway
  3. Critical patches not applied
  4. Default passwords of high-privileged users not changed
  5. User with S_RFC * authorization
  6. Unscanned custom code
  7. Solution Manager on the Internet
  8. Too many ICF services active
  9. Trusted connections between DEV and PROD systems

#1. El usuario por defecto de SAP (SAP*)

¿Qué cliente de SAP se hubiese imaginado que el programa iba a tener un usuario -por defecto- con super-permisos (SAP ALL) y funcionando? Bueno, si eres BASIS, deberías saberlo de memoria. Sin embargo, parece que muchos clientes de SAP desconocen éste usuario, y el peligro de tener activo al usuario SAP*.

Si cualquier atacante obtiene los datos de conexión a un entorno SAP por ej. SAP GUI, BSP, Web Dynpro, RFC, podrá poner SAP* como usuario y PASS como contraseña e ingresar a dicho entorno con todos los permisos.


#2. GateWay inseguro

Cualquier usuario malicioso con conexión a la red de su sistema SAP puede ejecutar comandos en el sistema operativo del servidor del sistema SAP. Esto le permite a los atacantes sabotear el servidor, instalar malware o seguir penetrando en su entorno SAP.


#3. Parches Críticos sin aplicar (no instalados)

Los investigadores de seguridad descubren y reportan permanentemente nuevas vulnerabilidades en el SAP estándar. Cuando SAP remedia estas vulnerabilidades a través de parches de seguridad, cualquier persona (maliciosa) puede analizar el parche y deducir un vector de ataque. Si los parches no son instalados a tiempo, sus sistemas corren un alto riesgo.


#4. Contraseñas por defecto que no fueron cambiadas

En el momento que un usuario malicioso se conecte a la red con acceso a los mecanismos de ingreso a su sistema SAP, podrá ingresar con credenciales conocidas de usuarios con altos privilegios como SAP*, DDIC y EARLYWATCH, conseguir privilegios SAP_ALL y tener control completo del sistema SAP.


#5. Permisos con asterisco en el objeto de autorización S_RFC

Cualquier usuario malicioso con autorización * de S_RFC puede llamar a cualquiera de las más de 34.000 funciones habilitadas para acceso remoto del SAP estándar. Hay muchos módulos de función críticos que permiten crear usuarios, cambiar la configuración del sistema y leer/grabar datos de negocio.


#6. Código propio no revisado

El código personalizado puede eludir toda la configuración de seguridad de su sistema SAP. El código propio malicioso es equivalente al acceso SAP_ALL a su sistema y permite a los atacantes tomar control completo. Cualquier código presonalizado usado en el servidor SAP que no haya sido inspeccionado previamente es por lo tanto un riesgo de seguridad muy alto.


#7. Solution Manager conectado a Internet

Aunque Solution Manager en sí mismo no contiene información de negocios, es la puerta de entrada a todo el entorno SAP. En el momento que un usuario malicioso consiga acceso a Solution Manager, el entorno completo se debe considerar comprometido. Si este sistema esta conectado a Internet, es solo cuestión de tiempo hasta que sea comprometido.


#8. Demasiados servicios ICF activos

Los servicios ICF pueden ser llamados mediante HTTP(S) y por lo tanto ser alcanzados remotamente. Hay muchos servicios ICF peligrosos en el SAP estándar que permiten leer/modificar configuraciones de sistema y leer/grabar datos de negocio. Si un usuario malicioso consigue acceso a estos sevicios, su sistema SAP estará en un gran riesgo.


#9.Conexiones de confianza entre sistemas DEV y PROD

Los sistemas de desarrollo (DEV) y de calidad (QA) usualmente no son tan seguros como los sistemas productivos. Si hay conexiones de confianza entre su sistema de desarrollo/QA y sus sistemas productivos, un atacante podría irrumpir en un sistema de desarrollo/QA y desde allí penetrar en su entorno SAP y conseguir acceso a sus sistemas productivos.


Estos son nueve errores mortales. Asegúrese que su compañía no cometa ninguno de ellos.




Pd: agregué algunos comentarios propios al artículo, pero la traducción casi total del artículo es propiedad de Segu-Info. Agradecemos el trabajo que se tomaron en éste portal de seguridad informática. Todos los créditos para ellos. Fuente: blog.segu-info.com.ar/.../nueve-pecados-mortales-en-la-seguridad

Saludos!


2 comentarios:

  1. Interesante tema de seguridad, lo que comentas son puntos que deben tomarse en cuenta. Conoces de algun webinar o curso online para capacicarse a modo mas tecnico sobre seguridad basis?

    Saludos
    Desde Peru
    skype: live:villa-9

    ResponderEliminar
    Respuestas
    1. Hola, no conozco ningun curso en linea sobre SAP BASIS a nivel de seguridad.
      Sí te recomiendo que accedas a la comunidad donde hay muchos usuarios SAP BASIS y/o consultores que pueden especializarse en seguridad, y podrían ayudarte con las dudas que tengas.

      Saludos

      Eliminar

Nota Importante: los comentarios son para agradecer, comentar o sugerir cambios (o hacer preguntas) sobre el artículo de arriba.


Para otras preguntas, por favor envíe su consulta aquí, es gratis!. Su consulta no molesta, le responderemos a la brevedad