SAP Solution Manager Segen oder Fluch für die Sicherheit Ihrer SAP-Systeme? Ralf Kempf Ralf Kempf akquinet AG
Agenda Agenda Über Akquinet SAP Solution Manager: Single point of control? Aus dem echten Leben: SolMan, die zentrale Schwachstelle Tipps zur Härtung Ihres SAP Solution Manager 2
Über mich Ralf Kempf Rolle bei akquinet: technischer Geschäftsführer Senior Principal Consultant SAP Security & Compliance Ort: Hamburg Mail: Ralf.Kempf@akquinet.de Erfahrung Herr Kempf verfügt über mehr als 18 Jahre Berufserfahrung im Bereich SAP Security und SAP-Entwicklung. Er ist Experte für Security Audits sowie SAP Berechtigungsberatung komplexer SAP-Systemlandschaften und verfügt über umfangreiche Erfahrungen in der Beratung zahlreicher Firmen im In-und Ausland. Ferner ist Herr Kempf Architekt der SAST GRC Suite. Qualifikationen Herr Kempf ist Dipl. Wirtschaftsinformatiker (FH) und zertifizierter SAP Technology Consultant Copyright 2012 akquinet AG 13.06.2012 3
Unser Unternehmen EK: Eigenkapital akquinet AG 2,4 Mio. EK Geschäftsprozesse business consulting GmbH 100 T EK JAVA SAP Microsoft /.NET Outsourcing Java/JBoss tech@spree GmbH 300 T EK Java/Websphere engineering GmbH 50 T EK agile Entwicklung it-agilegmbh 100 T EK Security enterprise solutions GmbH 130 T EK Öffentlicher Sektor publicconsulting& servicesgmbh 100 T EK ECM-Lösungen, Polen gbsgmbh 25 T EK SAP-Lösungen, Österreich HKS businesstechn. GmbH 75 T EK MS ERP Lösungen dynamicsolutionsgmbh 400 T EK Logistik Lösungen SLS logisticsgmbh 250 T EK CRM und Sharepoint business solutions GmbH 100 T EK Business Intelligence finance und controllling GmbH 100 T EK Sozialwirtschaft caregmbh50 T EK RZ Betrieb outsourcing gem. GmbH 250 T EK Infrastruktur system integration GmbH 125 T EK RZ Services businessservicesgmbh 25 T EK RZ Planung und Erstellung data center competence GmbH 100 T EK Sanitätshäuser ristecgmbh 52 T EK 4
Sicherheit/Kontrollen in SAP Systemen Alle Ebenen müssen betrachtet werden Präsentationsebene Geschäfts- prozess- Kontrollen Applikationsebene Datenbank/ Infrastruktur- Ebene Allgemeine IT-Kontrollen Copyright 2012 akquinet AG 13.06.2012 5
SAP -Security& Compliance Lösungen der akquinet AG SAP -Sicherheits-Audits und Penetration Tests Erstellung und Einführung von Sicherheitsund Berechtigungskonzepten Consulting and Advisory Services SAP Security Patch Advisory Service Implementierung von Single Sign On Verfahren für SAP Sicherheits-, Compliance- und Datenschutzberatung SAST GRC Suite SAST Audit AdminTrack SAST Audit SystemTrack SAST Audit UserTrack SAST RiskTrack SAST User Access Management SAST Download Observer SAST Role Optimizer Super User Access Management Baseline System Security Analyses Authorization and SoD Analyses Periodic Access Review and Risk Monitoring Compliant User Provisioning Data Leakage Prevention (DLP) SAP Role Management SAST Management Cockpit 6
Agenda Agenda Über Akquinet SAP Solution Manager: Single point of control? Aus dem echten Leben: SolMan, die zentrale Schwachstelle Tipps zur Härtung Ihres SAP Solution Manager 7
Segensreiche Funktionen des SolMan Single Point of Control Zentrale Benutzerverwaltung Incident und Change Management Customizing Abgleich Projektdokumentation zentral ablegen Single Point of monitoring Early Watch Services System Monitoring Security Optimization Self Services Landscape Optimization Services 8
Das Angriffsziel-> SAP Solution Manager Warum werden SAP Solution Manager angegriffen? Um kritische Geschäftsdaten zu erhalten? Um HR Datenzustehlen? Um technisches Produkt Know How zu erlangen? Um Kreditkartendaten zu kopieren? Um Produktionsabläufe zu stören? Nein EinAngreiferkannaberdurchAngriffauf IHREN SAP Solution Manager wertvollesysteminformationenbekommenund diese für weitere Angriffe auf andere Systeme nutzen! 9
WarumkanneraberauchzumFluchwerden Verbindungen zu allen SAP Systemen des Kunden Direkte Transportanbindung an alle Systeme Nicht im Fokus jährlicher Audits Sehr komplexes System Oftmals nicht gehärtet Anbindung an andere Partner und Systeme Niemand mag den SolMan wirklich Niemand fühlt sich dafür wirklich verantwortlich Viele offene TCP/IP Ports (RFC, HTTP) Nettes Ziel für Hacker 10
Falsche Fokusierung der Kunden Im Fokus von Security Massnahmen sind HR Systeme ERP Systeme Systeme mit Internetanbindung Nicht im Fokus Solution Manager SLD J2EE basierte Systeme BI, CRM und andere Falsches Sicherheits-Paradigma Verbindungen zu unsicheren Systemen Trusted RFC Verbindungen zu anderen Systemen RFC Verbindungen mit weitreichenden rechten Technische Systeme sind nicht im Scope jährlicher Audits 11
Typische SAP Solution Manager Landschaft Source: SAP AG, Solution Manager Security Guide 7.00 SP16 12
Komplexität erschwert die Härtung Source: SAP AG, Solution Manager Security Guide 7.00 SP16 13
SAP Solution Manager und Google Hacking Suchbegriff Inurl:/webdynpro/sap/ags_workcenter -> Ich war überrascht wieviele SolMan Systeme man findet -> Werkommtnurauf die IdeesolcheSystemeins Internet zustellen? Viele Systeme sind nicht gehärtet -Standard User und Kennwörter -Kritische Webservcies -Offene bekannte Schwachstellen -Es istnureinefragederzeitbis etwas passiert! 14
Zugriff auf SolMan via Webgui Fakten Webgui ist auf dem Solution Manager immer aktiv Angreifer können also direkt eine GUI verwenden Es ist nicht notwendig mit Bits und Bytes zu hantieren Während meiner Studien habe ich sehr viele offene SolMans gefunden 15
Zugriff auf SolMan via Webgui Wenn ein Angreifer Zugang erlangt hat er Zugriff auf sehr sensible Daten Technische Systemdaten (SMSY) SLD Daten RFC Verbindungen Password Hashwerte des SolMans und angebundener Systeme Bei Penetration Tests benötigen wir durchschnittlich weniger als 1 Stunde um Zugriff auf alle an einem SolMan angeschlossenen Systeme zu erlangen 16
Agenda Agenda Über Akquinet SAP Solution Manager: Single point of control? Aus dem echten Leben: SolMan, die zentrale Schwachstelle Tipps zur Härtung Ihres SAP Solution Manager 17
Der Solution Manager den der Kunde nicht kannte Auf den nächsten Folien sehen sie einen Mitschnitt eines Live hacks Aufgabe was es, die Sicherheit eines Kundensystems zu prüfen Für den Scan wurde SAST SystemTrack eingesetzt Erste SAST Ergebnisse enthielten Hinweise auf kritische RFC Systemverbindungen 18
Der Solution Manager den der Kunde nicht kannte Man konnte schnell Remotezugang zu einem SolMan mit Dialoguser erlangen Der User im Zielsystem hatte SAP_ALL -> Leider verloren! Info an Kunde: Ihr Solution Manager ist komplett unsicher Kundenantwort: Wir haben keinen Solution Manager Ergebnis: Es war der SolMan eines grossen internationalen Outsourcers und wir hatten Zugriff auf mehr als 40 Produktive Kundensysteme diverser Firmen Fehler Service User anstatt System User verwendet 19
Der Solution Manager den der Kunde nicht kannte Auf dem SolMan konnte man sehr interessante Daten finden: Sicherheitsanalysen und Early Watch Reports Solution Manager haben üblicherweise lesende RFC Verbindungen zu anderen Mandanten Mit diesen Verbindungen liessen sich alle Kennwort Hashwerte auslesen Download -> John the Ripper -> Klartextkennwörter-> Zugriff auf alle Systeme möglich 20
Der Solution Manager den der Kunde nicht kannte Beispiel einer Passwort Crack Attacke Wörterbuchangriffe haben eine sehr hohe Erfolgsquote. Ungefähr 20 Kennwörter konnten in 5 Minuten geknackt werden Ergebnis Wäre ich ein echter Hacker haette ich 40 Firmen ruinieren können Ich hätte auch Trojaner, Backdoors oder logische Zeitbomben installieren können Es ist keine gute Idee alle Systeme an einen SolMan anzuschliessen der unsicher ist SAP Security Guidelines werden nicht gelesen Systeme werden nicht auditiert 21
Weitere Angriffsmöglichkeiten: RFC Gateway Attack Bedrohung: Bekannte Schwachstelle im SAP Gateway Angreifer können Unix/Windows Befehle ausführen Ungefähr 90 % aller Kundensysteme sind in Bezug auf RFC ungeschützt Risiko: Volle Übernahme des Systems Denial of Service Installation von Trojanern und Hintertüren Schutzmassnahmen Implementieren Sie alle Sicherheitshinweise Schützen Sie SAP Systeme per Firewall Ändern Sie die Default Policyvon ALLOW ALL nach DENY ALL 22
Weitere Angriffsmöglichkeiten: RFC Callback Attack Bedrohung: Ein Angreifer kann in TEST-und Q-Systemen RFC Bausteine die der SolMannutzt verändern Hierdurch werden BACK CALLS mit den Rechten des SolMan Users in den SolMan abgesetzt. Z.B. lassen sich hierdurch leicht User in der ZBV anlegen SolMan Call Function Monitor something RFC Module ERP TEST User will be created Injected Call Back Code Call Function Create user with pass Destination BACK 23
Weitere Angriffsmöglichkeiten: Password Sniffing Bedrohung: SAP Netzwerkverkehr ist nicht verschlüsselt Password sniffers für SAP sind seit 2011 verfügbar - SAPCAP and SAPPROX - Wireshark SAP DIAG Decompressor plugin Angriffe lassen sich sehr leicht durchführen ohne bemerkt zu werden Funktioniert auch in geswichten Netzwerken Gegenmassnahmen: Verschlüsselung des Netzwerkverkehrs mit SNC SAP SNC Client Encryption ist seit 2011 kostenlos. 24
Agenda Agenda Über Akquinet SAP Solution Manager: Single point of control? Aus dem echten Leben: SolMan, die zentrale Schwachstelle Tipps zur Härtung Ihres SAP Solution Manager 25
Härtung des Systems auf allen Ebenen Presentation Layer Business Process Controls Application Layer Database / Infrastructure Layer General IT Controls 26
Fünf wichtige Informationen zum Schluß Härten Sie Ihren SAP Solution Manager. SAP und akquinetliefern gute Sicherheitsanleitungen! Verbinden Sie niemals Systeme mit einem niedrigeren Sicherheitslevel mit dem produktiven Solution Manager Führen Sie Sicherheits Audits und Penetration Tests VOR dem Go Live aus. Lesen Sie alle SAP Security Notes und bauen Sie alle aktuellen Patches ein. Verbinden Sie Ihren SAP Solution Manager nicht ohne zusätzliche Schutzmassnahmen mit dem Internet. 27
Questions and answers Questions and answers 28