Con i diritti di accesso SAP_ALL, qualcuno può eseguire un eseguibile sul server SAP Netweaver ABAP?

2

Dato un sistema dimostrativo per una fiera che si basa su SAP Netweaver ABAP. La nostra applicazione ha un bug che non può essere risolto facilmente, almeno non in tempo per la fiera. La soluzione alternativa consiste nel fornire agli utenti i diritti di accesso dimostrativi SAP_ALL.

SAP_ALL è una cattiva idea, lo so. Per favore, non discutiamo di quella parte. L'ho già fatto e sarà proprio così.

Non ci preoccupiamo dei dati nel sistema. È un sistema demo IDES e abbiamo un programma che può cancellare i dati (i nostri dati applicativi) e ripristinarli nello stato di consegna o demo. Quindi non è un grosso problema se qualcuno manipola i dati.

Come tester di quel sistema, ho conoscenza delle applicazioni ma non abbastanza conoscenza di amministrazione SAP. Mi chiedo se sarebbe possibile trasferire in qualche modo un eseguibile su quel server (magari tramite CG3Z della transazione) o crearne uno sul server e poi eseguirlo.

IMHO questa sarebbe una superficie di attacco indiscussa e, se fosse possibile, mi darebbe una nuova argomentazione per parlare di nuovo con le persone.

Forse è rilevante: la nostra applicazione ha bisogno di ICM (Internet Communication Manager) e HTTP, quindi una porta sarà aperta.

    
posta Thomas Weller 08.12.2016 - 15:29
fonte

2 risposte

2

Sì, SAP_ALL offre tutto il necessario per ottenere una shell come < SID > ADM sulla casella. Innanzitutto, è possibile eseguire il report RSBDCOS0 che consente l'esecuzione immediata del codice del sistema operativo. In secondo luogo, è possibile utilizzare il meccanismo sapxpg che esegue anche programmi OS. Come utente SAP_ALL, puoi anche modificare la configurazione in modo che RCE sia possibile sulla rete.

Entrambi i meccanismi consentono di aggiungere un altro utente SAP_ALL per un utilizzo successivo inserendo direttamente 2 linee in USR02 utilizzando un client DB che sfugge a tutte le registrazioni interne SAP.

    
risposta data 15.04.2017 - 11:55
fonte
0

Sì, SAP_ALL consente l'escalation dei privilegi all'interno dell'ambiente e ci sarà un canale in uscita per consentire comunicazioni logiche dannose. Un utente malintenzionato può utilizzare un eseguibile, ma anche questo non è necessario. La possibilità di eseguire il codice, però, dovrebbe essere ovvia.

Per un incarico temporaneo a SAP* , controlla questo script - link - che , come puoi vedere, utilizza SAP_ALL per l'escalation di privilegi quasi invisibili. Se un amministratore Basis utilizza un correttore account standard, questo script non mostrerà i privilegi elevati.

    
risposta data 14.02.2017 - 00:10
fonte

Leggi altre domande sui tag