Хроники пентестера #2: безопасность ERP-систем

Хроники пентестера #2: безопасность ERP-систем
Существует довольно известная во всем мире ERP-система под брендом SAP , которая еще с конца прошлого века получила широкое распространение в крупных компаниях. Но при всей своей популяризации, разработчики SAP сделали все возможное, чтобы максимально усложнить архитектуру безопасности своего детища. История, которая произошла совсем недавно, берет свое начало с использования пароля по умолчанию к учетной записи SAP* в 066 манданте. Вполне стандартная проблема с дефолтами в системах SAP. Указанный (типовой) недостаток встречается в 9 случаях из 10 (и в половине случаев, если рассматривать исключительно продуктивные системы). В таблице ниже приведены известные идентификаторы и пароли по умолчанию. name='more'> ИдентификаторПарольМандантПримечаниеSAP*06071992, PASS000, 001, 066 все новые клиентыПривилегированный пользователь системы SAPDDIC19920706000, 001Привилегированный пользователь словаря ABAP и логистики программного обеспечения EARLYWATCHSUPPORT066Диалоговый пользователь для сервиса Early Watch в клиенте 066SAPCPICADMIN000, 001, 066, все новые клиентыКоммуникационный пользователь RFC с правами администратораTMSADM000, 001Пользователь транспортной системы управления Использование дополнительных модулей adminaxis2Axis2ctb_adminsap123Visual ComposerAdministratormanageBusiness ConnectorDeveloperisdevBusiness ConnectorReplicatoriscopyBusiness ConnectoritsadmininitITSxmi_demosap123xMIISAPR3SAPSAP Content ServercontrolcontrolSAP Content ServersuperdbaadminSAP Content ServerdomaindomainSAP Content Server Особое внимание хочется обратить на идентификатор привилегированного пользователя системы SAP*, у которого может встречаться пароль "PASS". Это происходит при создании нового манданта, а также после того, как администратор системы SAP удаляет указанный идентификатор и при этом забывает про параметр системного профиля "login/no_automatic_user_sapstar", который будучи установленным в ноль позволяет успешно войти в систему с известным именем и паролем. Указанная особенность системы SAP яркое подтверждение тому, что разработчики от всей души пошутили над администраторами своего творения. Но вернемся к нашей истории. Несмотря на то, что был получен доступ к системе SAP под идентификатором SAP* в 066 манданте, права пользователя были шибко ограничены, т.к. администратор предусмотрительно удалил профиль "SAP_ALL" у дефолтового привилегированного пользователя. Но при этом, администратор совершенно забыл про профиль "S_USER_ALL", который также назначен пользователю SAP* по умолчанию. Таким образом, развитие атаки сводилось к классическому созданию нового пользователя (транзакция su01), назначение этому пользователю профиля "SAP_ALL" и повторный вход в систему с использованием нового идентификатора. А после? Следующим этапом было выполнение команд (транзакции sm49, sm69) и развитие атаки на уровне операционной системы, но это уже совсем другая история. Как избежать подобных проблем? - В первую очередь (и это касается любых информационных систем) избавиться от дефолтов. - Контролировать, что доступ к интерфейсам (транзакциям) администрирования/разработки предоставлен ограниченному числу действующих идентификаторов.
ERP-security pentest SAP тест на проникновение security
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!