En abril de 2019, la seguridad del Gateway y del servidor de mensajes de SAP se convirtió en tema de conversación. Los actores cibernéticos maliciosos pueden atacar y comprometer sistemas SAP no seguros (sistemas sin servidores de mensajes y Gateway adecuados y parámetros requeridos) con herramientas de explotación públicamente disponibles, denominadas "10KBLAZE". Leer
https://www.us-cert.gov/ncas/alerts/AA19-122A
Probé este programa Python publicado y pude obtener autorizaciones SIDADM en menos de un minuto sin necesidad de credenciales. Es bastante inquietante.
Para asegurar los sistemas SAP de esta vulnerabilidad, debemos seguir los pasos mencionados en las notas 821875, 1421005 y 1408081.
Los ACL del servidor de mensajes son normalmente fáciles de mantener, pero resulta abrumador escribir archivos de ACL del Gateway: secinfo y reginfo. Podría afectar las operaciones si negamos el acceso a programas/servidores legítimos.
Desarrollé un programa en Java que ayuda a analizar los registros del Gateway (gw_log*) y genera automáticamente archivos secinfo y reginfo, facilitando la vida del administrador del sistema SAP.
El programa en Java está disponible como código abierto en
https://github.com/vinodpats/gwlogsanalyzer10KBlaze
Sigue los siguientes pasos para utilizar este programa en Java.
-
Activa la simulación del Gateway utilizando el parámetro de perfil
gw/sim_mode
=1
-
Actualiza el parámetro de perfil
gw/reg_no_conn_info
según la Nota 1444282. Cuanto mayor, mejor.
-
Cambia el parámetro de perfil
gw/acl_mode
=1
-
Utiliza archivos de ACL centralizados configurando los siguientes parámetros de perfil:
gw/sec_info
=$(DIR_GLOBAL)/secinfo
gw/reg_info
=$(DIR_GLOBAL)/reginfo
Puede ser conveniente tener un ACL separado por servidor de aplicaciones (en lugar de ACL centralizados) por razones comerciales. En este caso, consulta las ubicaciones de archivos estándar.
5. Activa el registro del GW (consulta la nota 2527689). Mantén esto también en el perfil. Cambia el parámetro
gw/logging
=ACTION=SsPZ LOGFILE=gw_log-%y-%m-%d SWITCHTF=día
Ten en cuenta que la seguridad del Gateway aún está en modo de simulación. El sistema comenzará a generar registros en el
directorio de trabajo
. El archivo de registro diario podría tener cientos de líneas según la configuración del sistema.
Después de un par de semanas, copia todos los archivos de registro a, por ejemplo, el directorio c:\gwlog.
Ejecuta este programa en Java y proporciona la ruta del directorio de registros (c:\gwlog). El programa analizará todos los registros y generará archivos
secinfo
y
reginfo
.
Ahora sigue los últimos 2 pasos:
6. Analiza las entradas en estos archivos (actualiza si es necesario) y luego guarda estos archivos en la ruta
$(DIR_GLOBAL)
.
7. Finalmente, desactiva el modo de simulación cambiando el parámetro de perfil
gw/sim_mode
=0.
¡Por favor, sigue estas instrucciones con precaución y mantén seguros tus sistemas!