Viendo lo complicado que fue crear el virus Stuxnet sobre firmware de PLCs exóticos y pobremente documentadso, el experto en seguridad SAP Ertunga Arsal acaba reflexionando lo sencillo que sería dirigir virus a sistemas SAP para atacar a las mayores empresas del mundo.
Y es que no parece que haya más de una o dos empresas especializadas en seguridad SAP, y los potenciales agujeros son muchos...
En una típica instalación de SAP como la que se puede ver en el dibujo,
el protocolo más vulnerable es el protolo RFC (Remote Function Call), que se puede acceder desde múltiples APIs y desde la línea de comando, y que además permite la administración remota y la creación de usuarios con privilegios máximos (SAP_ALL). No sólo, sino que además puede ser encapsulado en SOAP y por tanto puede entrar en la empresa a través del proxy...
Otro punto de ataque son los ficheros donde se almacenan las credenciales de la autenticación unificada (Single Sign On), sassys.pse, y que se pueden utilizar para autenticar en el nombre de cualquier usuario, o incluso pueden ser accedidos por una RFC.
Y por supuesto, conociendo el lenguaje de programación de SAP (ABAP), hay múltiples posibilidades de inyección de código, a través de una llamada remota que permite ejecutar código almacenado en una tabla, otra que permite crear tipos genéricos sobre la marcha (RTTC) o incluso "EXEC SQL".
Y por si fuera poco, también puede añadir código a los ejecutables directamente, mediante la sentencia "INSERT REPORT" (con un cómodo editor gráfico), lo cual abre la puerta a la creación de rootkits de SAP que faciliten la tarea de "administración remota" de los sistemas.
Pero como siempre, hay que terminar con una nota de esperanza... Basta con auditar todos los problemas de seguridad, quitar las claves por defecto, restringir los permisos de los desarrolladores y mejorar los procesos de rotación de personal y de actualización de parches de SAP. ¿Y qué es eso para cualquier empresa del "Fortune 500"? Y supongo que contratar a Ertunga Arsal... :-)
lunes, 27 de diciembre de 2010
Suscribirse a:
Enviar comentarios (Atom)
buena seguridad
ResponderEliminar