(3) (2) (1) (SAP_ALL)

Transkript

1 TITEL Andreas Wiegenstein bearbeiten Dr. Markus Schumacher (3) (2) (1) (SAP_ALL) Webinar Click DSAG to AK edit Professional Master Services text styles Virtual Forge GmbH All rights reserved.

2 TITEL Mein Auto, bearbeiten mein Haus, mein Boot, Andreas Wiegenstein Gründer von Virtual Forge (Heidelberg), verantwortlich für R&D SAP Security Researcher, aktiv seit 2003 Credit von SAP für mehr als 20 gemeldete 0-day Schwachstellen Regelmäßiger Fourth Referent level auf internationalen Konferenzen SAP TechEd 2004 (USA & Europa) / 2005 (USA) / 2006 (USA), DSAG 2009 BlackHat 2011 (Europa), Hack in the Box 2011 (Europa) Troopers 2011 & 2012 (Europa), RSA 2012 (USA) Co-Autor Sichere ABAP Programmierung" (SAP Press) Training Class SAP University

3 INHALT TITEL bearbeiten (3) Click SAP to Audits edit Master und Eigenentwicklungen text styles (2) Sicherheitsrisiken in ABAP (1) Prüfung von Eigenentwicklungen (SAP_ALL) Demos

4 TITEL bearbeiten (3) SAP Audits und Eigenentwicklungen

5 TITEL SAP Audits bearbeiten Prüfungsaktivitäten beziehen sich auf den SAP Standard Schutz von Transaktionen Schutz von Tabellen SoD Prüfungen basieren auf SAP Standard Kritische Transaktionen sind bekannt Kritische Tabellen sind bekannt

6 TITEL SAP Standard bearbeiten - Schutz nach Standard Transaktionaler Schutz : Anlegen von ABAP Programmen ABAP Workbench (SE80) S_TCODE? S_DEVELOP? Produktivsystem? INSERT REPORT Erzeugt ABAP Programme

7 TITEL SAP Audits bearbeiten Segeln in vertrauten Gewässern

8 TITEL Eigenentwicklungen bearbeiten Aber was, wenn die Regeln nicht mehr gelten?

9 TITEL Eigenentwicklungen bearbeiten in Zahlen Unternehmen haben ~ 1.65 Mio LOC Custom ABAP (netto) * Dies entspricht etwa 1% des SAP Standards (ECC 6.0) Das wären 8 Bermuda Dreiecke auf der Erde, was der doppelten Fläche des Mittelmeeres entspräche. * Virtual Forge Studie mit 45 Firmen und 100 Mio LOC (netto) Netto = Code ohne Kommentare und Leerzeilen

10 TITEL ABAP bearbeiten Code im IKS Kontext IKS-Struktur im ERP-Umfeld Generellen IT Kontrollen (ITGC - IT General Controls) Änderungswesen (Change Management) ABAP Code Fifth level Risiken für Geschäftsprozesse Vollständigkeit Rechte Richtigkeit Nachvollziehbarkeit Funktionstrennung Datenschutz

11 TITEL SAP Audits bearbeiten Ein Unternehmen haftet immer für eigenen Code* Relevanz Hausinterne Entwicklung Outsourcing Firmenzukäufe * (Chuprunov, SAP Revision, SAP Press, 2012)

12 TITEL Eigenentwicklungen bearbeiten Eigenentwicklungen können sämtliche Regeln außer Kraft setzen Third Risiko level Transaktion ZTRANS1 INSERT REPORT Risiko Transaktion ZTRANS2 Erzeugt ABAP Programme Risiko Funktionsbaustein ZFB1 Risiko Funktionsbaustein ZFB2 Risiko Risiko REPORT ZREP Business Server Page ZBSP Risiko Web Dynpro Anwendung ZWD

13 TITEL bearbeiten (2) Sicherheitsrisiken in ABAP Grafikquelle:

14 TITEL Kritische bearbeiten ABAP Befehle Befehl INSERT REPORT CALL 'SYSTEM' CALL 'ThWpInfo' CALL 'C_DB_EXECUTE' CALL 'C_DB_FUNCTION' CLIENT SPECIFIED Option INSERT dbtab UPDATE dbtab MODIFY dbtab DELETE dbtab Wirkung Erstellung von ABAP Code - Keine S_DEVELOP Prüfung - Keine Prüfung auf Produktivsystem - Ermöglicht direkte Modifikation des Standards Ausführung beliebiger Betriebssystem-Kommandos - Bypass von SM49/SM69 - Keine S_LOG_COM Prüfung Ausführung beliebiger nativer SQL Kommandos - Bypass von S_TABU_* Prüfungen - Bypass von Änderungsbelegen - Umgehen der Mandantentrennung - Umgehen der OSQL Einschränkungen Umgehen der Mandantentrennung Direkte Modifikation auf der Datenbank - Bypass von S_TABU_* Prüfungen - Bypass von Änderungsbelegen

15 TITEL Sicherheitsrisiken bearbeiten im ABAP Was kann schief gehen? 1. Berechtigungsfehler Second level 2. Injection Schwachstellen 3. Hintertüren und Standard-Bypasses 4. Datenlecks

16 TITEL #1 Berechtigungsfehler bearbeiten IF sy-uname <> for_user. AUTHORITY-CHECK OBJECT 'S_DEVELOP' ELSE. ID 'DEVCLASS' DUMMY ID 'OBJTYPE' FIELD 'DEBUG' ID 'OBJNAME' FIELD for_user ID 'P_GROUP' DUMMY ID 'ACTVT' FIELD '90'. AUTHORITY-CHECK OBJECT 'S_DEVELOP' ID 'DEVCLASS' DUMMY ID 'OBJTYPE' FIELD 'DEBUG' ID 'OBJNAME' DUMMY ID 'P_GROUP' DUMMY ID 'ACTVT' FIELD '03'. IF sy-subrc <> 0. cx_wd_general=>raise( text-001 ). ENDIF. ENDIF.

17 TITEL #1 Berechtigungsfehler bearbeiten - Statistik Es gibt im Schnitt 1 kritischen Berechtigungsfehler alle LOC* * Virtual Forge Studie mit 45 Firmen und 100 Mio LOC (netto) Netto = Code ohne Kommentare und Leerzeilen

18 TITEL #2 Injections bearbeiten DATA promotion TYPE string. DATA filename TYPE string. DATA mytext TYPE string. promotion = request->get_form_field('promo'). CONCATENATE '/sap/tmp/data/' promotion INTO filename. OPEN DATASET filename FOR INPUT IN TEXT MODE ENCODING DEFAULT. mytext = ''. WHILE sy-subrc = 0. IF mytext IS NOT INITIAL AND mytext NE ''. page->write( mytext ). ENDIF. READ DATASET filename INTO mytext. ENDWHILE.

19 TITEL #2 Injections bearbeiten Normale Eingabe durch Benutzer promo=flightapp/promotion/summer.txt Resultierender Dateizugriff /sap/tmp/data/flightapp/promotion/summer.txt Unerwartete Eingabe durch Benutzer ( Injection durch Zeichenfolge../ ) promo=../../../etc/passwd Resultierender Dateizugriff /sap/tmp/data/../../../etc/passwd /sap/tmp/../../etc/passwd /sap/../etc/passwd /etc/passwd DEMO

20 TITEL #2 Injections bearbeiten - Statistik Es gibt im Schnitt 1 kritische Injection Schwachstelle alle LOC* * Virtual Forge Studie mit 45 Firmen und 100 Mio LOC (netto) Netto = Code ohne Kommentare und Leerzeilen

21 TITEL #3A Hintertüren bearbeiten beim Kunden Die drei Entwickler Produktive Second BSP Anwendung level mit versteckter Seite Für normale Benutzer leer Für drei Entwickler Hintertür, um beliebige Tabellen auszulesen DEMO

22 TITEL #3B Hintertüren bearbeiten im Standard Direkte Eingabe von OK Codes in TA RSRV 1. Normaler Programmfluss: "display" 2. Versteckter Programmfluss: "editor_call Keine echte Hintertür, aber ein schönes Osterei

23 TITEL #4 Datenlecks bearbeiten Fehlerhafter RFC-fähiger Funktionsbaustein Input: Second PERID level ppp und PERNR nnn Output im Fehlerfall: Die angegebene PERID und PERNR passen nicht zusammen. Der PERNR nnn ist PERID xxx zugeordnet. STORY

24 TITEL bearbeiten (1) Prüfung von Eigenentwicklungen

25 TITEL BIZEC bearbeiten APP/11 Prüfempfehlungen ID Schwachstelle Beschreibung APP-01 ABAP Command Injection Ausführung beliebigen ABAP Codes APP-02 OS Command Injection Ausführung beliebiger Betriebssystem-Kommandos APP-03 Improper Authorization (Missing, Broken, Proprietary, Generic) Fehlende oder fehlerhafte Berechtigungsprüfung APP-04 Generic Module Execution Unerlaubte Ausführung von Modulen (Reports, FuBas, etc) APP-05 Cross-Client Database Access Mandantenübergreifender Zugriff auf Geschäftsdaten APP-06 SQL Injection Schadhafte Manipulation von Datenbankbefehlen APP-07 Unmanaged SQL Verwendung nativer Datenbankbefehle APP-08 Cross-Site Scripting Manipulation des Browser UI, Diebstahl von Berechtigungen APP-09 Cross-Site Request Forgery Ausführung von Business Logik im Namen eines anderen Benutzers. APP-10 File Upload (Malware) Speicherung schadhafter Dateien auf dem SAP Server APP-11 Directory Traversal Unerlaubter Schreib-/Lesezugriff auf Dateien (SAP Server)

26 TITEL Weitere bearbeiten Informationen Organisationen Literatur BIZEC Business Security Initiative Sichere ABAP-Programmierung (SAP PRESS, 372 S., 2009) Andreas Wiegenstein, Markus Schumacher, Sebastian Schinzel, Frederik Weidemann Handbuch SAP-Revision (SAP PRESS, 700 S., 2012) Maxim Chuprunov

27 TITEL bearbeiten (SAP_ALL) Demos

28 TITEL ABAP bearbeiten Command Injection Funktionale Analyse des Befehls INSERT REPORT 1. Auswirkungen Second level auf die Authorization Trace 2. Auswirkungen auf einem Produktivsystem 3. Modifikation des SAP Standards DEMO

29 TITEL Quiz bearbeiten Was ist der kürzeste Weg mittels ABAP Code SAP_ALL Berechtigung zu erhalten?

30 TITEL Lösung bearbeiten 56 Zeichen UPDATE usrbf2 SET bname = sy-uname 54 Zeichen WHERE bname = '????'. UPDATE usrbf2 SET bname = 'BOND' WHERE bname = '????'.

31 TITEL Vielen bearbeiten Dank für Ihr Interesse

32 TITEL bearbeiten Haben Sie noch Fragen? VIRTUALFORGE GmbH Speyerer Straße Heidelberg Deutschland Telefon: + 49 (0) Fax: + 49 (0)

33 TITEL Disclaimer bearbeiten Dieser Vortrag demonstriert Sicherheitsrisiken in der Sprache ABAP. Wenn bestimmte Sicherheitsfehler in ABAP möglich sind, bedeutet dies nicht zwangsläufig, dass diese im SAP Standard Code vorhanden sind. Virtual Forge hat allerdings sämtliche hier beschriebenen Fehler in Eigenentwicklungen bei SAP Kunden entdeckt. Virtual Forge rät ausdrücklich von Reisen in das Bermuda Dreieck ab.