Hacking Ético en Entornos SAP

3 noviembre, 2021
DevOps

Hay muchas razones por las que SAP merece un trato especial en términos de seguridad. Algunas de ellas son:

Una extensa red de consultores expertos. SAP siempre ha contado con un amplio entorno de partners, especializados en los diferentes módulos funcionales y áreas técnicas. Este enfoque permitió a SAP convertirse en el líder absoluto de ERP en todo el mundo, pero eso tiene un precio en seguridad: la arquitectura interna de SAP es bien conocida y hay mucha información detallada disponible. Un buen consultor de SAP puede convertirse fácilmente en un peligroso black-hat.
Muchos usuarios con diferentes niveles de acceso. Cuando se implementa un ERP de SAP en una empresa, normalmente muchos usuarios tienen derecho a acceder a él en diferentes niveles: desde gerentes financieros hasta operarios, desde ingenieros de TI hasta becarios, un porcentaje relevante de empleados o trabajadores externos pueden ser usuarios de SAP, lo que aumenta el riesgo de hackeo interno. Este hecho es aún más peligroso combinado con el siguiente:
Una estructura de autorizaciones compleja, no siempre implementada correctamente. Normalmente, una instalación inicial de SAP incluye un adecuado diseño de roles y perfiles, lo que determina el control de acceso a diferentes funcionalidades y ámbitos organizacionales. Pero a lo largo de los años, las organizaciones cambian y los ERP evolucionan, por lo que no es raro que, después de algunos años, la estructura de autorización contenga agujeros de seguridad. Un empleado desleal con buenas habilidades en SAP puede descubrir esos agujeros y utilizarlos. Además, un hacker puede aprovecharlo para aumentar los privilegios en un ataque.
Dificultad de actualización: no es técnicamente fácil mantener actualizado SAP ERP con parches de seguridad, por lo que muchas implementaciones mantienen las vulnerabilidades sin corregir durante largos períodos después de que fueron descubiertas.

Por encima de todo, hackear un sistema SAP puede resultar muy interesante para un black-hat, por la naturaleza de la información almacenada en él: datos financieros, información confidencial de clientes, proveedores y empleados, procedimientos de producción …

Por lo tanto, está claro que debemos tener especial cuidado en proteger nuestro entorno SAP, y el hacking ético es una de las herramientas más poderosas para hacerlo, pero como dijimos, SAP merece un tratamiento especial, por lo que una prueba de penetración en un sistema SAP. tiene también algunas características específicas:

Como cualquier otro proyecto de SAP, el hacking ético debe ser realizado por hackers certificados que también sean partners de SAP. SAP proporciona a sus partners acceso a parches y notas de seguridad, así como un extenso material para crear entornos sandbox y probar vulnerabilidades.

El pentest interno es muy importante, debido al riesgo ya explicado de hackers internos, así como a la vulnerabilidad a la ingeniería social.
Es imprescindible una revisión profunda de los roles y perfiles de autorización. Una definición débil de roles hará que la escalada de permisos sea muy fácil, lo que, junto con el riesgo de hackeo interno, resulta una combinación peligrosa
Los sistemas SAP son complejos y los administradores del sistema no siempre están al tanto de las funcionalidades en ejecución. Por lo tanto, el pentesting de caja blanca debe tratarse siempre como caja gris, yendo más allá de la información proporcionada por los administradores.
Además de las herramientas pentest habituales, se requieren algunos scripts ad-hoc, enfocados en las vulnerabilidades específicas. P.ej. en la siguiente imagen, se ha ejecutado un script de Santa Marta AB en un sistema SAP de pruebas, para encontrar usuarios accesibles y detectar sus permisos. En el ejemplo, el script ha encontrado dos usuarios estándar con amplios permisos, que mantienen sus contraseñas originales. Ambos usuarios tienen también la capacidad de crear nuevos usuarios, lo que es útil para mantener el acceso y cubrir pistas.