Vulnerabilidades en sistemas SAP: ¿Mito o realidad?

SAP es sin lugar a dudas el líder mundial en software ERP. Más de 437.000 empresas de 180 países utilizan algún sistema de SAP (entre ellas el 98% de las 100 empresas más valiosas y el 92% de las 2000 empresas de la lista Forbes Global).

Dada la variada naturaleza de los sistemas existentes en el ecosistema SAP (financieros, recursos humanos, etc.), es habitual trabajar con datos muy sensibles de las organizaciones que es muy importante salvaguardar, tanto de atacantes externos como de fraude interno.

No pretendemos en este post hablar de las últimas vulnerabilidades de SAP (la mayoría se pueden identificar en la herramienta pública SAP Security Patch Day), sino de algunas de las vulnerabilidades que existen desde los inicios de SAP y que requieren una configuración específica por parte de las empresas y que, en la mayoría de ocasiones, no es realizada. En muchos casos, las organizaciones confían en que al tener los sistemas en la Intranet, sin acceso al exterior, el riesgo es menor, pero, además del posible fraude interno, las nuevas aplicaciones móviles y portales que se están publicando en Internet, pueden suponer vulnerabilidades para aquellos sistemas que no son públicos. En nuestra experiencia auditando la seguridad de sistemas SAP, hemos detectado las siguientes 4 vulnerabilidades de forma habitual:

  • Descifrado de contraseñas: al inicio SAP cifraba las contraseñas utilizando MD5 y el nombre del propio usuario para cifrar la contraseña. El problema es que esta información (usuario y hash) se almacena en la tabla que contiene el listado de usuarios (USR02) que puede ser accesible desde el propio sistema o desde la base de datos. Con un simple diccionario y el programa John the Ripper, se pueden romper la mayoría de contraseñas del sistema y hacer uso de cualquiera de estos usuarios. La solución a este problema pasa por activar un parámetro para que deje de utilizarse MD5
  • Sniffing de contraseñas: por defecto, la comunicación entre un sistema SAP y el SAP Logon (herramienta que permite acceder a SAP) no está cifrada y esto permite esnifar el tráfico de acceso al sistema para extraer la contraseña en texto plano del usuario que se está conectando al sistema SAP. La solución pasa por activar el cifrado (Secure Network Communication).
  • Remote Logon: las conexiones entre sistemas SAP se realizan utilizando una tecnología llamada RFC (Remote Function Call), que necesita de un usuario técnico con privilegios en el sistema al que hacer la conexión. Si esta conexión no se ha realizado de forma correcta, un atacante podría saltar de un sistema a otro tal y como se muestra en el siguiente vídeo.
  • Desarrollo de código en producción: en los sistemas SAP el desarrollo de programas a medida está limitado por SAP, siendo necesario solicitar autorización expresa a SAP mediante un Portal al que tienen acceso los clientes. Después de registrar la petición, SAP facilita un código (clave de desarrollador) que permite editar programas existentes o crear nuevos programas. Esta restricción puede ser saltada por los usuarios si disponen de acceso de depuración (Debug & Replace), ya que se puede introducir un breakpoint en el programa que solicita la clave de desarrollador e introducir la variable manualmente que nos permitirá crear programas en el sistema. La solución pasa por restringir por completo el acceso al modo depurador en los entornos de producción.

Como se puede comprobar, a pesar de la inherente robustez de un gran ERP como es SAP, no está exento de potenciales grietas de seguridad que, independientemente de que esté o no conectado a Internet, pueden poner en riesgo la información de la organización. En estos casos, lo más recomendable es siempre auditar el estado de seguridad de la instalación SAP, para no llevarnos sorpresas desagradables.

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

Menú