Español | Deutsch | English

Nueve pecados capitales en torno a la seguridad de SAP

junio 7, 2016 | De Virtual Forge GmbH

Puede que existan millones de cosas que los clientes de SAP pueden hacer mal cuando se trata de la seguridad de SAP.

He recopilado los errores más críticos que mi equipo ha observado en los proyectos de pruebas de penetración de SAP durante los últimos 10 años.

POR ANDREAS WIEGENSTEIN, VIRTUAL FORGE26_Deadly_Sins_Key-91faf88c.jpg

Aquí tiene la lista definitiva de los pecados capitales más frecuentes:

1. Usuario SAP* de código fijo activo
En el momento en que un usuario malintencionado obtiene la conexión de red a un mecanismo de inicio de sesión del sistema SAP (p. ej., SAP GUI, BSP, Web Dynpro, RFC) puede iniciar sesión con el nombre de usuario de código fijo ('SAP*') y la contraseña ('PASS'), con lo que logra los privilegios SAP_ALL y dispone de control total sobre el sistema SAP.

2. Gateway poco segura
Cualquier usuario malintencionado con una conexión de red al sistema SAP puede ejecutar comandos arbitrarios en el sistema operativo del servidor SAP. Esto permite a los atacantes sabotear el servidor, instalar malware o programas maliciosos y continuar penetrando en el entorno de SAP.

3. No se han aplicado parches críticos
Los investigadores en seguridad descubren constantemente nuevas vulnerabilidades críticas en el sistema estándar de SAP e informan sobre las mismas. Cuando SAP crea parches para dichas vulnerabilidades, cualquier persona (malintencionada) con acceso a la nota de SAP en cuestión puede analizar el parche y derivar un vector de ataques. Si los parches no se instalan en el momento oportuno, los sistemas estarán expuestos a un riesgo importante.

4. No se han cambiado las contraseñas predeterminadas de usuarios con privilegios elevados
En el momento en que un usuario malintencionado obtiene la conexión de red a un mecanismo de inicio de sesión del sistema SAP (p. ej., SAP GUI, BSP, Web Dynpro, RFC) puede iniciar sesión con las credenciales conocidas de usuarios con privilegios elevados, por ejemplo, SAP*, DDIC y EARLYWATCH, y dispone de control total sobre el sistema SAP.

5. Usuario con autorización S_RFC *
Cualquier usuario malintencionado con autorización S_RFC * puede llamar a cualquiera de los más de 34.000 módulos de funciones con acceso remoto del estándar de SAP. Hay muchos módulos de funciones críticos que permiten crear usuarios, cambiar los parámetros de configuración del sistema, así como leer y escribir datos empresariales.

6. Código cliente no comprobado
El código ABAP del cliente puede pasar por alto cualquier configuración de seguridad del sistema SAP. El código personalizado malintencionado equivale a un acceso SAP_ALL al sistema y permite a los atacantes tomar el control total. Por lo tanto, todo código personalizado implementado en el servidor de SAP que no se haya examinado previamente representa un alto riesgo de seguridad.

7. Solution Manager en internet
Aunque Solution Manager por sí mismo no contiene datos empresariales, constituye una puerta de acceso a todo el entorno de sistemas SAP. En el momento en que un usuario malintencionado obtiene acceso a Solution Manager, puede considerarse que todo el entorno está expuesto a riesgos. Si este sistema se encuentra en internet, un ataque informático es solo cuestión de tiempo.

8. Hay demasiados servicios ICF activos
Los servicios ICF se pueden llamar a través de HTTP(S), por lo que se puede acceder a ellos de forma remota. Hay muchos servicios ICF peligrosos en el sistema estándar de SAP que permiten leer o cambiar parámetros de configuración del sistema y leer o escribir datos empresariales Si un usuario malintencionado obtiene acceso a dichos servicios, el sistema SAP quedará expuesto a un gran riesgo.

9. Conexiones de confianza entre sistemas de desarrollo y productivos
Los sistemas de desarrollo y de control de calidad no suelen ser tan seguros como los sistemas productivos. Si existen conexiones de confianza entre los sistemas de desarrollo o de control de calidad y los sistemas productivos, un atacante que haya podido penetrar en un sistema de desarrollo o de control de calidad puede acceder desde allí al resto del entorno de SAP y conseguir acceso a los sistemas productivos.

Estos nueve errores pueden ser mortíferos. Asegúrese de que su empresa no comete ninguno de ellos. 

SAP Pentesting permite dormir mejor.

También puede seguir los tuits de SAP Pentesting...