Hablando con varios amigos, sobre el problema que uno de ellos tenia para auditar un sistema SAP y al buscar para ayudarle con ese problema, nos dimos cuenta de la poca documentación existente para realizar un Pentesting de manera metódica en un sistema SAP, no encontramos fácilmente una guía o checklist a seguir para auditar efectivamente estos sistemas.

Aunque conocíamos buenas herramientas como Sapyto, un framework para auditoria de sistemas SAP del que ya habíamos hablado en la comunidad, y una excelente charla que dio Mariano Nuñez Di Croce, su creador, donde habla de pentesting a sistemas SAP, seguíamos sin encontrar una metodología a seguir, por eso decidimos preguntar en Twitter si alguien conocía alguna metodología para realizar un pentest en sistemas SAP y la respuesta fue tan buena que dio lugar a la creación de este post, donde pretendemos reunir en un solo lugar, los mejores recursos que puedas llegar a necesitar cuando realices una auditoria a sistemas SAP.

El primer recurso que les comparto es la charla de Mariano Nuñez sobre Pentesting en Sistemas SAP:

En los aportes que nos realizaron se encuentra la Guía de Seguridad para sistemas SAP NetWeaver, pero también unas directrices para auditar SAP ECC creado en el 2009 por Nishant Sourabh un empleado de IBM, que eran justo lo que necesitábamos:

Descarga las directrices para auditar SAP ECC de este enlace

Pero también documentación creada por la misma SAP con lineamientos para auditar SAP R/3 que nos ayudaran mucho en la tarea de auditar sistemas SAP.

Descarga los lineamientos para auditar SAP R/3 creados por SAP

En español encontramos un portal dedicado enteramente a la seguridad SAP llamado SeguridadSAP.com, el cual recomendamos totalmente desde La Comunidad DragonJAR, también agradecemos  Space Cowboy (@EspeisCouboi) y Alberto Hil (@bertico413), por su colaboración.

Mariano Nuñez (creador de sapyto) ha compartido con nosotros mas información y herramientas para ampliar nuestra lista:

• Bizploit el primer framework open source para realizar Penetration testing a un ERP

Descargar Bizploit v1.00-rc1 para Windows
Descargar Bizploit v1.00-rc1 para Linux

• Onapsis Integrity Analyzer for SAP, una solución que permite detectar modificaciones sin autorización a los programas ABAP en la plataforma SAP.

Download Integrity Analyzer for SAP (Oracle databases)
Recomendamos leer la guia de instalación en la carpeta “Doc”.

• Seguridad SAP en profundidad, serie de artículos donde explican los pasos a seguir para revisar la seguridad de un sistema SAP en profundidad.

  Volume I: The risks of downwards compatibility
  Volume II: SAP Knowledge Management – The risks of sharing
  Volume III: The Silent Threat: SAP Backdoors and Rootkits

muchísimas gracias por el aporte y mariano.

Si tienes mas aportes en esta materia dejalos en los comentarios, para que juntos construyamos un buen listado de recursos para auditar sistemas SAP.

También puede interesarte...

• Information Gathering – Guía de Pentesting
• SAPYTO – Framework para realizar Penetration Tests sobre sistemas SAP
• Guía oficial de seguridad en Facebook
• Consejos Simples de Seguridad para ir a la Campus Party
• Laboratorio Práctico de Auditoria y Pentest
• Inguma Herramienta gratuita para Penetration Testing
• OSSTMM (Open Source Security Testing Methodology Manual) 3.0
• ¿Cómo se realiza un Pentest?

Esta versión es principalmente un completo rediseño de sapyto tanto su núcleo como su arquitectura ha sido modificado para facilitar el soporte a futuras versiones. Algunas de las nuevas características son:

• Objetivo de configuración se basa ahora en “conectores”, que representan diferentes maneras de comunicarse con los servicios y componentes de SAP.
• Los plugins son ahora dividido en tres categorías: Descubrir, Auditar y Explotar.
• Los plugins exploits ahora generan shell´s y/o sapyto Agent objects.
• Nuevos plugins!: Fuerza Bruta a cuenta de usuario, enumeración de clientes, evaluación de SAProuter y más …
• Desarrollador Plugin´s ahora es mas fácil, la interface se ha simplificado y mejorado drásticamente.
• Proceso de instalación y documentación general mejorado.

Para Más Información:
Página Oficial del SAPYTO
SAPYTO – Framework para realizar Penetration Tests sobre sistemas SAP

También puede interesarte...

• winAUTOPWN – Ataques automáticos de entornos Windows
• ¿Cómo se realiza un Pentest?
• Memorias del VI OWASP Spain Chapter Meeting
• Hakin9 Español GRATIS
• Manual en español de Meterpreter
• Manual de Metasploit Framework en Español
• Video: Explotando WM Downloader
• Vídeo: Introducción al Metasploit Framework

Sapyto fue Presentado en Blackhat Europe 2007, fue liberado con varios modulos para analizar la seguridad de la implementacion de la interfaz RFC de los sistemas SAP. La arquitectura modular permite que los usuarios desarrollen sus propios modulos, extendiendo la funcionalidad y permitiendo que el Framework detected nuevas vulnerabilidades. Esta herramienta ha sido escrito en Python.

Descargar SAPYTO
Fuente del recurso: CRYPTEX

También puede interesarte...

• Metodología o Checklist para auditar un sistema SAP
• ¿Cómo se realiza un Pentest?
• Nueva version de SAPYTO (0.98)
• Information Gathering – Guía de Pentesting
• Laboratorio Práctico de Auditoria y Pentest
• ¿Cómo aprender a programar en JavaScript?
• Inguma Herramienta gratuita para Penetration Testing
• DLL Hijacking con Metasploit