SAP Pentest
Schützen Sie Ihre Systeme & Anwendungen
Die unternehmenseigenen SAP-Systeme sind oft einer der kritischsten Bereiche für die IT-Sicherheitsorganisation eines Unternehmens. Nicht selten werden hier sensible und hochkritische Geschäftsprozesse konsolidiert. Das Ausnutzen einer Schwachstelle in einer solchen Umgebung kann somit schwerwiegende und mitunter substanzielle Konsequenzen haben.
SAP-Systeme sind oft das Rückgrat eines Unternehmens und daher ein attraktives Ziel für Cyberangriffe. Allerdings werden besonders kritische, spezifische Schwachstellen oft nicht erkannt. Warum? Weil sich der Pentest von SAP-Infrastrukturen signifikant von dem eines anderen Systems oder Anwendung unterscheidet. Er erfordert fundierte Expertise und grundlegendes Verständnis von SAP-Produkten. Meine Kolleg*innen und ich haben eine speziell darauf ausgerichtete Methodik entwickelt, ergänzt um unser Tool „sncscan“.
Häufige Schwachstellen sind beispielsweise:
- Fehlende Patches für veröffentlichte Schwachstellen in der SAP-Software
- Fehlkonfigurationen bei Benutzerberechtigungen, RFC-Verbindungen, System-Parametern sowie den Einstellungen für die Verschlüsselung
- Verwendung veralteter Drittanbieter-Software (z.B. zum Monitoring) mit bekannten Schwachstellen
- Sicherheitslücken in eigenentwickelten ABAP-Reports, die eine Rechteerweiterung oder Kompromittierung des Systems ermöglichen
- Unzureichende Abgrenzung zwischen Entwicklungs-, Test- und Produktiv-Systemen
Wie gehen wir beim SAP Pentest vor?
Wir führen Pentests anhand einer einheitlichen Methodik durch, die in diesem Fall um spezifische Elemente erweitert wird. Bei unserem SAP Pentest untersuchen unsere Security Analyst*innen Ihre SAP-Systeme und FIORI-Webanwendungen umfassend, um mögliche Einfallstore für Angreifer zu identifizieren. Dabei unterscheiden wir zwischen der Untersuchung von webbasierten SAP-Systemen und der Prüfung von SAP-Produkten auf Systemebene.
Welche Überprüfungen sind beim SAP Pentest Bestandteil?
Die folgenden Prüfungen sind unter anderem Bestandteil von Pentests der SAP-Systeme:
- Überprüfung von Standard-Diensten (SSH, SMB, NFS, Management- und Monitoring-Software usw.) sowie Überprüfung von SAP-spezifischen Diensten (wie unter anderem Content Server, Message Server, Management Console, ICM, IGS, WebDispatcher)
- Exemplarische Berechtigungsprüfung eines Fachbereichsnutzers auf unberechtigten Zugriff auf administrative Transaktionen
- Überprüfung der konfigurierten Systemparameter (wie unter anderem von standardisierten SAP-Härtungsempfehlungen, der Konfiguration von ACL-Listen, das Auslesen von Informationen von ICF Webservices oder die Verschlüsselung bei spezifischen SAP-Protokollen wie beispielsweise DIAG)
- Individuelle Anpassung von verfügbaren Exploits (beispielsweise von Security Focus, Metasploit, PySAP oder Core Impact) zur Ausnutzung von identifizierten SAP-spezifischen Schwachstellen
Bei Pentests der FIORI-Webanwendungen führen wir darüber hinaus folgende Prüfungen durch:
- Überprüfung der Eingabevalidierung und -verarbeitung
- Automatisierte Überprüfung der Webapplikation mittels eines State-of-the-Art-Schwachstellenscanners
- Angriffsszenarien auf Basis der Kombination mehrerer identifizierter Schwachstellen
- Überprüfung des Berechtigungskonzepts der FIORI-Anwendung, sowohl in der Webanwendung direkt als auch im OData-Datenmodell
- Automatisierte und manuelle Analyse des OData-Datenmodells
Noch einen Schritt weiter mit dem SNC Scan
Unser selbst entwickeltes Tool "SNC Scan" ermöglicht die Analyse des Protokolls SAP Secure Network Communication (SNC) und deckt unsichere Konfigurationen auf.
