Primer troyano para SAP

noviembre 4, 2013 § 1 comentario

Una nueva variante de un troyano bancario, contiene también código para buscar si el usuario afectado tiene el cliente SAP instalado, sugiriendo que los atacantes podrían atacar sistemas SAP en el futuro.

El malware fue descubierto hace unas semanas por la compañía rusa de antivirus Doctor Web, que compartió con el descubrimiento con investigadores de ERPScan, un desarrollador de productos de seguridad para sistemas SAP.

“Hemos analizado el malware y todo lo que hace hasta ahora es comprobar que el cliente tenga aplicaciones SAP instaladas”, dijo Alexander Polyakov, Chief Technology Officer de ERPScan. “Sin embargo, esto podría ser el comienzo para futuros ataques”.

Este tipo de malware hace un reconocimiento para ver si está instalado un software en particular, pero no se sabe si los atacantes planean vender el acceso a los sistemas infectados o pretenden explotarlos en un futuro cercano.

Esta es la primera pieza de malware dirigido a cliente SAP, que ha sido creado por ciberdelincuentes reales. Los clientes SAP tienen archivos de configuración que se pueden leer fácilmente y ellos contienen las direcciones IP de los servidores SAP a los cuales se conectan. Los atacantes podrían “engancharse” a los procesos de SAP para obtener los usuarios y contraseñas de SAP.

Con acceso al software de SAP, los atacantes podrían robar datos sensibles como información financiera, secretos empresariales, información sobre recursos humanos o lanzar ataques de denegación de servicio contra los servidores SAP de la empresa para desbaratar sus operaciones comerciales y causar daños financiero.

Fuente: Computer World

Los Cuatro Mitos de la Seguridad de los ERP

mayo 5, 2012 § 4 comentarios

Hay varios mitos en la seguridad de los ERP. Uno de los más comunes es que la seguridad es en su mayor parte una cuestión de control de acceso y segregación de funciones. Otro es que las aplicaciones de negocios son accesibles solo dentro de las redes internas. Y otro más es que este tipo de aplicaciones no son un objeto de ataque. Los tres se basan en una visión simplista y errónea sobre los sistema ERP actuales.

La realidad es que los sistemas ERP contemporáneos tienen una estructura muy compleja. La complejidad es enemigo de la seguridad. Las vulnerabilidades se pueden encontrar no solo en la capa de aplicaciones o de negocio (lo cual es el área tradicional de foco para los profesionales de la seguridad de ERP) sino también en la capa técnica que incluye base de datos, sistema operativo y componentes de red. Un enfoque tipo Fort Knox para el nivel de aplicación dará un falso sentido de la seguridad si las fallas de configuración de la arquitectura y la programación no son tratados en el nivel técnico.

Esto se agrava por el hecho que la mayoría de los casos de ERP tienen más de una superficie de ataque. Casi todos tienen conexiones directas o indirectas a Internet. Las últimas incluyen conexiones a oficinas externas, proveedores, vendedores y otros socios y a los servicios de SAP. Esto último puede incluir conexiones a estaciones de trabajo de usuario con acceso Internet. Los recursos ERP se diseñan cada vez más para ser accesibles por los usuarios móviles utilizando protocolos usados por la Web, puertos y servicios. Los mainframes aislados de antaño son un recuerdo lejano en nuestra era de comunicaciones globales.

Los vectores para atacar las superficies en sistemas ERP son generalmente conocidos. Es más, la mayoría se pueden realizar con laptops pequeñas y un mínimo de conocimientos. La idea de que muy pocas personas tengan algún motivo para atacar tales sistemas ricos en información, es uno de los mitos más perturbadores y desconcertantes en la seguridad de los ERP. Me recuerda a un comentario que me hizo un socio importante de una empresa consultora muy conocida. El socio estaba contratado como asesor de seguridad  para una gran empresa de procesamiento de carne durante una implementación de SAP por demás exitosa. En su opinión, el cliente tenía un perfil relativamente de bajo riesgo que justificaba un marco de seguridad por defecto para sus sistemas SAP. Como resultado, a la compañía se la instó a seguir con los valores por defecto de SAP, siempre que fuera posible.

Esto nos lleva al cuarto y al más perjudicial de los mitos en la seguridad ERP: la noción que los sistemas son configurados seguros por defecto, cuando no lo son, y que es responsabilidad del proveedor la de asegurar el sistema. Los sistemas ERP son diseñados para ser flexibles. Deben ser capaces de satisfacer las necesidades diversas de cada empresa imaginable en todas las industrias y sectores. Como resultado, no hay una configuración estándar que pueda cumplir los requerimientos de cada empresa. La seguridad tiene que ser habilitada. La configuración de seguridad por defecto a menudo es muy peligrosa y puede dejar a las organizaciones abiertas a ataque internos y externos. Por esta razón, SAP ha publicado numerosos documentos, guías de seguridad y otras publicaciones para apoyar la configuración segura de su software durante y después de la implementación. Esto debería se de lectura obligatoria para todos los profesionales de seguridad especializados en SAP.

SAP no se responsabiliza por problemas de seguridad derivados de las fallas de arquitectura, errores de configuración y parches insuficientes. Se espera que los clientes diseñen, administren y mantengan sus sistemas de una forma segura. Esto puede llegar a ser un reto en compañías donde no hay una clara propiedad de los recursos SAP o en caso donde los sistemas son propiedad de departamentos de negocio que carecen de las habilidades técnicas para administrar efectivamente la seguridad ERP. En estos escenarios, los dueños del negocio deben tomar las medidas para compartir la propiedad con las funciones de TI, especialmente los recursos técnicos dentro de la organización que están acostumbrados a tratar con la infraestructura o la seguridad a nivel de la plataforma.  En mi observación, usualmente hay una fuerte relación entre la fortaleza de la seguridad SAP en organizaciones y el grado de colaboración entre el negocio y TI.

Traducción: Raúl Batista – Segu-Info
Autor: Aman Dhillon
Fuente: Layer Seven Security – Blog

Un escaner de seguridad para SAP 2.0

abril 28, 2012 § Deja un comentario

ERPScan liberó ERPScan Security Scanner for SAP 2.0– una compleja solución para monitorear de forma continua todas las áreas de seguridad de SAP, desde la evaluación de vulnerabilidades y fallas de configuración hasta la revisión de código ABAP y el análisis de privilegios críticos del negocio.

Uno de los cambios más significativos es un nuevo módulo que puede realizar análisis estático de la seguridad del código ABAP. Esto hace del ERPScan la única solución del mercado que realiza tanto la evaluación de seguridad de la plataforma como la revisión del código.

El número de chequeos anónimos que pueden ser llevados a cabo en el modo de pruebas de penetración se han aumentado significativamente para ayudar a las compañías a identificar problemas sin usar credenciales en el sistema.

El nuevo motor puede ayudar a realizar verificaciones de cumplimiento y auditoria no solo mediante RFC –permite realizar escaneos completos a través de la interfaz web, que es una gran característica para pruebas de penetración externas y puede hacer más sencilla la vida de los pen-testers.

Más funciones nuevas:

  • Soporte de diferentes tipos de aplicaciones web (bsp/iviews/jsp/webservices/webdynpro’s)
  • Más de 5.000 chequeos diferentes cubriendo errores de configuración, vulnerabilidades, acceso a aplicaciones web, búsqueda de 50 tipos diferentes de vulnerabilidades en código ABAP.
  • Elaborada evaluación black-box de vulnerabilidades
  • Catalogado de sistemas y servicios SAP

“Hoy en día, casi todas las operaciones críticas como adquisiciones, administración de stocks, administración de recursos humanos, reportes financieros y muchos más y la información relacionada a estos, están almacenados en sistemas SAP. Es por esto que el objetivo de un atacante interno o externo será conseguir acceso ilícito a SAP con el propósito de la manipulación maliciosa de los recursos de la compañía,” dice Alexander Polyakov, CTO de ERPScan.

“A pesar del aumento de la popularidad de los sistemas de seguridad ERP en la comunidad de seguridad, las compañías siguen siendo vulnerables al cibercrimen y los atacantes internos. Hasta el momento SAP ha publicado más de 2000 notas de Seguridad cerrando varias vulnerabilidades, lo cual es mucho, especialmente si tenemos en cuenta que algunas veces es suficiente con una sola falla de seguridad para conseguir acceso a toda la información crítica de negocios. Se presentó un ejemplo en la BlackHat el pasado verano. Por otro lado, casi todas las compañías desarrollan código ABAP propio que también puede contener vulnerabilidades y puertas traseras dejadas por los desarrolladores”.

“La evaluación de seguridad SAP, según nuestra experiencia, suele tomar mucho tiempo. Adicionalmente, la complejidad del sistma y la gran cantidad de instalaciones de diferente tipo requieren la participación de especialistas de varios campos de la seguridad. Incluso el servidor de aplicación puede tener una plataforma ABAP o Java, y estos requieren de especialistas completamente diferentes, sin mencionar las aplicaciones y módulos particulares. ERPScan permite simplificar significativamente la tarea de evaluación mediante la automatización de la mayoría de los chequeos habituales, de tal forma se le puede prestar más atención al análisis de la parte hecha a medida,” concluye Alexander.

Traducción: Raúl Batista – Segu-Info
Fuente: Help Net Security

SAP: Notas para solucionar vulnerabilidad demostrada en Black Hat 2011 (#bh)

agosto 12, 2011 § 1 comentario

Días pasados informamos sobre la vulnerabilidad demostrada en BlackHat 2011 sobre sistemas SAP, con motor J2EE, que permite a un atacante crear usuarios y promoverlos para darles privilegios de administrador.

Sobre este particular la empresa argentina de seguridad Onapsis publicó un boletín en el cual dan referencia de las nota oficiales con que SAP trata la solución a esta vulnerabilidad.

En la nota 1616259 (Note 1616259 – Briefing at Black Hat conference on August 4th, 2011) dice SAP :

Se publicaron dos notas como parte del Día de Parches de Seguridad SAP de Agosto de 2011 para reparar las vulnerabilidades mostradas en esta presentación [BlackHat 2011]. Estas son las notas de seguridad 1589525 y 1616058.

En la nota 1616058 Note 1616058 – XSRF possible in SPML Services in AS Java
https://service.sap.com/sap/support/notes/1616058 se trata la solución al síntoma que describen así:

Un usuario malicioso puede ejecutar funciones de aplicaciones web a traves de servicios SPML en un Servidor de Aplicación Java, SAP Netwaver.

Y detalla los pasos a seguir.

La otra nota 1589525 (Note 1589525 – Verb Tampering issues in CTC ) describe como solucionar el síntoma descripto como:

Existen problemas con autorizaciones y autenticación en conjunto con metodos HTTP inusuales en CTC (Customer to Cash).

y se detallan tres formas de solución.

Las notas deberán ser evaluadas por el administrador BASIS (administrador técnico de sistemas SAP) de cada organización quien evaluará con la metodología habitual, el impacto y forma de llevarlo a cabo.

Debe tenerse en cuenta que según informó Alexander Polyakov en 90 días daría a conocer públicamente los detalles de la vulnerabilidad.

(*) El acceso a las notas descriptas es restringido a los profesionales habilitados como clientes de SAP y consultores autorizados por esa empresa.

Raúl de la Redacción de Segu-Info

Gran falla de seguridad en SAP Netweaver (#bh)

agosto 8, 2011 § Deja un comentario

El experto en seguridad Alexander Polyakov de ERPScan presentó un agujero de seguridad del motor J2EE de SAP NetWeaver el cual le permite al atacante crear remotamente nuevas cuentas de administrador. Polyakov demostró la falla en la conferencia de seguridad Black Hat en Las Vegas. Primer buscó con Google una cadena particular que es un indicador típico del Portal de Management de sistemas SAP.

Luego usando la URL de la búsqueda usó un script Perl que ejecutó el ataque en dos pasos. Primero el script crea un usuario nuevo y luego promueve ese nuevo usuario como administrador. Usando ese nuevo usuario luego es posible ingresar al sistema vulnerable.

El script será publicado por el investigador tres meses después que SAP publique la actualización, dando suficiente tiempo a los clientes de SAP para actualizar sus sistemas.

El investigador no dará más detalles hasta que SAP no haya eliminado la falla con una actualización del software.”

Traducción: Raúl Batista – Segu-Info

Fuentes:

Experto alerta sobre posibles vulnerabilidades en SAP (#bh)

agosto 6, 2011 § Deja un comentario

Un experto en software de seguridad advirtió que fallos en el diseño del software de gestión empresarial de SAP AG pueden permitir a los hackers romper fácilmente en los sistemas SAP de corporaciones a través de Internet.

Alexander Polyakov, director de tecnología de la empresa de software de seguridad ERPScan, dio a conocer las vulnerabilidades el jueves en la conferencia de hacking Black Hat en Las Vegas.

Polyakov fue uno de decenas de expertos de hacking que hicieron presentaciones en la reunión anual, la cual es atendida por profesionales de la seguridad que quieren aprender acerca de las más recientes vulnerabilidades de seguridad.

Él dijo en una entrevista que se puede configurar una consulta utilizando el motor de búsqueda de Google e identificar los sistemas que son vulnerables a ataques

En algunos casos, dijo, podría crear cuentas ficticias para acceder al sistema, permitiendo a estos usuarios un amplio acceso a datos corporativos secretos. También podría eliminar algunos datos valiosos al sobrescribir las bases de datos con “basura”, dijo.

No se pudo contactar con funcionarios de SAP para hacer comentarios.

Polyakov, dijo que el fabricante de software le ha dicho que espera lanzar un programa para corregir la vulnerabilidad de seguridad dentro de una semana.

Fuente: MarlexSystems

Metodología o Checklist para auditar un sistema SAP

junio 16, 2011 § Deja un comentario

Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o a seguir para auditar efectivamente estos sistemas.

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.
El primer recurso que les comparto es la charla de Mariano Niñez sobre Pentesting en Sistemas SAP:

var s1 = new SWFObject(‘http://miliw0rm.securitytube.net/player.swf’,’player’,’400′,’266′,’9′); s1.addParam(‘allowfullscreen’,’true’); s1.addParam(‘allowscriptaccess’,’always’); s1.addParam(‘flashvars’,’file=http://videos.securitytube.net/SAP-Penetration-Testing-(Blackhat-2009).flv’); s1.write(‘preview’);

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP  que nos ayudaran mucho en la tarea de auditar sistemas SAP.

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos  Space Cowboy (@EspeisCouboi)Alberto Hil (@bertico413), por su colaboración.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.

Autor: DragoN
Fuente: DragonJAR

¿Dónde estoy?

Actualmente estás explorando la categoría sap en Seguridad Informática.