Aprende en Comunidad
Avalados por :
Cómo proteger los sistemas SAP de la vulnerabilidad 10KBLAZE y asegurar la seguridad del Gateway y del servidor de mensajes
- Creado 01/03/2024
- Modificado 01/03/2024
- 18 Vistas
0
Cargando...
En abril de 2019, la seguridad del Gateway y del servidor de mensajes de SAP se convirtió en tema de conversación. Los actores cibernéticos maliciosos pueden atacar y comprometer sistemas SAP no seguros (sistemas sin servidores de mensajes y Gateway adecuados y parámetros requeridos) con herramientas de explotación públicamente disponibles, denominadas "10KBLAZE". Leer
https://www.us-cert.gov/ncas/alerts/AA19-122A
Probé este programa Python publicado y pude obtener autorizaciones SIDADM en menos de un minuto sin necesidad de credenciales. Es bastante inquietante.
Para asegurar los sistemas SAP de esta vulnerabilidad, debemos seguir los pasos mencionados en las notas 821875, 1421005 y 1408081.
Los ACL del servidor de mensajes son normalmente fáciles de mantener, pero resulta abrumador escribir archivos de ACL del Gateway: secinfo y reginfo. Podría afectar las operaciones si negamos el acceso a programas/servidores legítimos.
Desarrollé un programa en Java que ayuda a analizar los registros del Gateway (gw_log*) y genera automáticamente archivos secinfo y reginfo, facilitando la vida del administrador del sistema SAP.
El programa en Java está disponible como código abierto en https://github.com/vinodpats/gwlogsanalyzer10KBlaze
Sigue los siguientes pasos para utilizar este programa en Java.
gw/sec_info =$(DIR_GLOBAL)/secinfo
gw/reg_info =$(DIR_GLOBAL)/reginfo
Puede ser conveniente tener un ACL separado por servidor de aplicaciones (en lugar de ACL centralizados) por razones comerciales. En este caso, consulta las ubicaciones de archivos estándar.
5. Activa el registro del GW (consulta la nota 2527689). Mantén esto también en el perfil. Cambia el parámetro gw/logging =ACTION=SsPZ LOGFILE=gw_log-%y-%m-%d SWITCHTF=día
Ten en cuenta que la seguridad del Gateway aún está en modo de simulación. El sistema comenzará a generar registros en el directorio de trabajo . El archivo de registro diario podría tener cientos de líneas según la configuración del sistema.
Después de un par de semanas, copia todos los archivos de registro a, por ejemplo, el directorio c:\gwlog.
Ejecuta este programa en Java y proporciona la ruta del directorio de registros (c:\gwlog). El programa analizará todos los registros y generará archivos secinfo y reginfo .
Ahora sigue los últimos 2 pasos:
6. Analiza las entradas en estos archivos (actualiza si es necesario) y luego guarda estos archivos en la ruta $(DIR_GLOBAL) .
7. Finalmente, desactiva el modo de simulación cambiando el parámetro de perfil gw/sim_mode =0.
¡Por favor, sigue estas instrucciones con precaución y mantén seguros tus sistemas!
Probé este programa Python publicado y pude obtener autorizaciones SIDADM en menos de un minuto sin necesidad de credenciales. Es bastante inquietante.
Para asegurar los sistemas SAP de esta vulnerabilidad, debemos seguir los pasos mencionados en las notas 821875, 1421005 y 1408081.
Los ACL del servidor de mensajes son normalmente fáciles de mantener, pero resulta abrumador escribir archivos de ACL del Gateway: secinfo y reginfo. Podría afectar las operaciones si negamos el acceso a programas/servidores legítimos.
Desarrollé un programa en Java que ayuda a analizar los registros del Gateway (gw_log*) y genera automáticamente archivos secinfo y reginfo, facilitando la vida del administrador del sistema SAP.
El programa en Java está disponible como código abierto en https://github.com/vinodpats/gwlogsanalyzer10KBlaze
Sigue los siguientes pasos para utilizar este programa en Java.
- Activa la simulación del Gateway utilizando el parámetro de perfil gw/sim_mode =1
- Actualiza el parámetro de perfil gw/reg_no_conn_info según la Nota 1444282. Cuanto mayor, mejor.
- Cambia el parámetro de perfil gw/acl_mode =1
- Utiliza archivos de ACL centralizados configurando los siguientes parámetros de perfil:
gw/sec_info =$(DIR_GLOBAL)/secinfo
gw/reg_info =$(DIR_GLOBAL)/reginfo
Puede ser conveniente tener un ACL separado por servidor de aplicaciones (en lugar de ACL centralizados) por razones comerciales. En este caso, consulta las ubicaciones de archivos estándar.
5. Activa el registro del GW (consulta la nota 2527689). Mantén esto también en el perfil. Cambia el parámetro gw/logging =ACTION=SsPZ LOGFILE=gw_log-%y-%m-%d SWITCHTF=día
Ten en cuenta que la seguridad del Gateway aún está en modo de simulación. El sistema comenzará a generar registros en el directorio de trabajo . El archivo de registro diario podría tener cientos de líneas según la configuración del sistema.
Después de un par de semanas, copia todos los archivos de registro a, por ejemplo, el directorio c:\gwlog.
Ejecuta este programa en Java y proporciona la ruta del directorio de registros (c:\gwlog). El programa analizará todos los registros y generará archivos secinfo y reginfo .
Ahora sigue los últimos 2 pasos:
6. Analiza las entradas en estos archivos (actualiza si es necesario) y luego guarda estos archivos en la ruta $(DIR_GLOBAL) .
7. Finalmente, desactiva el modo de simulación cambiando el parámetro de perfil gw/sim_mode =0.
¡Por favor, sigue estas instrucciones con precaución y mantén seguros tus sistemas!
Pedro Pascal
Se unió el 07/03/2018
Facebook
Twitter
Pinterest
Telegram
Linkedin
Whatsapp
Sin respuestas
No hay respuestas para mostrar
Se el primero en responder
contacto@primeinstitute.com
(+51) 1641 9379
(+57) 1489 6964
© 2024 Copyright. Todos los derechos reservados.
Desarrollado por Prime Institute
Hola ¿Puedo ayudarte?