Aprende en Comunidad
Avalados por :
Como proteger os sistemas SAP da vulnerabilidade 10KBLAZE e garantir a segurança do Gateway e do servidor de mensagens
- Creado 01/03/2024
- Modificado 01/03/2024
- 5 Vistas
0
Cargando...
Em abril de 2019, a segurança do Gateway e do servidor de mensagens da SAP se tornou um tema de conversa. Atacantes cibernéticos maliciosos podem atacar e comprometer sistemas SAP não seguros (sistemas sem servidores de mensagens e Gateway adequados e parâmetros necessários) com ferramentas de exploração publicamente disponíveis, chamadas "10KBLAZE".
https://www.us-cert.gov/ncas/alerts/AA19-122A
Testei este programa Python publicado e consegui obter autorizações SIDADM em menos de um minuto sem a necessidade de credenciais. É bastante perturbador.
Para garantir os sistemas SAP dessa vulnerabilidade, devemos seguir os passos mencionados nas notas 821875, 1421005 e 1408081.
As ACL do servidor de mensagens são normalmente fáceis de manter, mas pode ser avassalador escrever arquivos de ACL do Gateway: secinfo e reginfo. Pode afetar as operações se negarmos acesso a programas/servidores legítimos.
Desenvolvi um programa em Java que ajuda a analisar os registros do Gateway (gw_log*) e gera automaticamente arquivos secinfo e reginfo, facilitando a vida do administrador do sistema SAP.
O programa em Java está disponível como código aberto em https://github.com/vinodpats/gwlogsanalyzer10KBlaze
Siga os seguintes passos para utilizar este programa em Java.
gw/sec_info =$(DIR_GLOBAL)/secinfo
gw/reg_info =$(DIR_GLOBAL)/reginfo
Pode ser conveniente ter uma ACL separada por servidor de aplicações (em vez de ACL centralizados) por motivos comerciais. Nesse caso, consulte as localizações de arquivos padrão.
5. Ative o registro do GW (consulte a nota 2527689). Mantenha isso também no perfil. Altere o parâmetro gw/logging =ACTION=SsPZ LOGFILE=gw_log-%y-%m-%d SWITCHTF=dia
Tenha em mente que a segurança do Gateway ainda está em modo de simulação. O sistema começará a gerar registros no diretório de trabalho . O arquivo de registro diário pode ter centenas de linhas, dependendo da configuração do sistema.
Após algumas semanas, copie todos os arquivos de registro para, por exemplo, o diretório c:\gwlog.
Execute este programa em Java e forneça o caminho do diretório de registros (c:\gwlog). O programa analisará todos os registros e gerará arquivos secinfo e reginfo .
Agora siga os últimos 2 passos:
6. Analise as entradas nesses arquivos (atualize, se necessário) e, em seguida, salve esses arquivos no caminho $(DIR_GLOBAL) .
7. Por fim, desative o modo de simulação alterando o parâmetro de perfil gw/sim_mode =0.
Por favor, siga estas instruções com cuidado e mantenha seus sistemas seguros!
Testei este programa Python publicado e consegui obter autorizações SIDADM em menos de um minuto sem a necessidade de credenciais. É bastante perturbador.
Para garantir os sistemas SAP dessa vulnerabilidade, devemos seguir os passos mencionados nas notas 821875, 1421005 e 1408081.
As ACL do servidor de mensagens são normalmente fáceis de manter, mas pode ser avassalador escrever arquivos de ACL do Gateway: secinfo e reginfo. Pode afetar as operações se negarmos acesso a programas/servidores legítimos.
Desenvolvi um programa em Java que ajuda a analisar os registros do Gateway (gw_log*) e gera automaticamente arquivos secinfo e reginfo, facilitando a vida do administrador do sistema SAP.
O programa em Java está disponível como código aberto em https://github.com/vinodpats/gwlogsanalyzer10KBlaze
Siga os seguintes passos para utilizar este programa em Java.
- Ative a simulação do Gateway utilizando o parâmetro de perfil gw/sim_mode =1
- Atualize o parâmetro de perfil gw/reg_no_conn_info conforme a Nota 1444282. Quanto maior, melhor.
- Altere o parâmetro de perfil gw/acl_mode =1
- Utilize arquivos de ACL centralizados configurando os seguintes parâmetros de perfil:
gw/sec_info =$(DIR_GLOBAL)/secinfo
gw/reg_info =$(DIR_GLOBAL)/reginfo
Pode ser conveniente ter uma ACL separada por servidor de aplicações (em vez de ACL centralizados) por motivos comerciais. Nesse caso, consulte as localizações de arquivos padrão.
5. Ative o registro do GW (consulte a nota 2527689). Mantenha isso também no perfil. Altere o parâmetro gw/logging =ACTION=SsPZ LOGFILE=gw_log-%y-%m-%d SWITCHTF=dia
Tenha em mente que a segurança do Gateway ainda está em modo de simulação. O sistema começará a gerar registros no diretório de trabalho . O arquivo de registro diário pode ter centenas de linhas, dependendo da configuração do sistema.
Após algumas semanas, copie todos os arquivos de registro para, por exemplo, o diretório c:\gwlog.
Execute este programa em Java e forneça o caminho do diretório de registros (c:\gwlog). O programa analisará todos os registros e gerará arquivos secinfo e reginfo .
Agora siga os últimos 2 passos:
6. Analise as entradas nesses arquivos (atualize, se necessário) e, em seguida, salve esses arquivos no caminho $(DIR_GLOBAL) .
7. Por fim, desative o modo de simulação alterando o parâmetro de perfil gw/sim_mode =0.
Por favor, siga estas instruções com cuidado e mantenha seus sistemas seguros!
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?