SAP locking-aanval

SAP locking-aanval
Met de tot nu toe relatief onbekende
SAP locking-aanval is het mogelijk een
SAP-systeem volledig af te sluiten. Het
effect is groot en de kennis die nodig is
om het toe te passen is klein. Deze
combinatie maakt deze aanval tot een
groot gevaar. Dit artikel gaat over deze
aanval en wat je er tegen kunt doen.
SAP-systemen
SAP levert ERP-systemen maar ook CRM-, HR-, BI-systemen en nog vele andere soorten. Van
oorsprong werden deze systemen alleen binnen de grenzen van een organisatie gebruikt.
Tegenwoordig moeten onderdelen soms ook buiten deze grenzen beschikbaar zijn. Hiervoor zijn
services gemaakt die zowel intern als van buitenaf gebruikt worden. Niet iedereen kan deze services
gebruiken; je moet een geldige gebruiker in het SAP-systeem zijn. Het spreekt vanzelf dat deze
gebruiker eerst in moet loggen en dat het wachtwoord voldoende complex moet zijn.
Een beveiliging die zich tegen je keert
Natuurlijk ligt het voor de hand dat iemand via raden kan proberen een juiste gebruikersnaam en
wachtwoord te vinden. Een aanval waarbij via geautomatiseerd raden inloggegevens worden
geprobeerd te achterhalen, wordt ook wel aangeduid als een “brute force”-aanval. Om de
succeskans van dit soort aanvallen te verkleinen, is er in SAP standaard een lockingmechanisme
ingesteld dat na vijf pogingen het account blokkeert. Dat verkleint de gelegenheid voor een
succesvolle “brute force”-aanval. Maar deze beveiliging kan zich tegen je keren.
Locking-aanval
Stel dat een aanvaller een via het internet ontsloten SAP-service heeft gevonden. De aanvaller weet
dat er eerst authenticatie nodig is, en dat de kans op succes van een “brute force”-aanval klein is.
Wat wel kan, is een account locken door opzettelijk herhaaldelijk in te loggen met een onjuist
wachtwoord. Hiertoe wordt er een script ingezet met een lijst met bekende gebruikersnamen.
Bijvoorbeeld: AJANSSEN, BJANSSEN, CJANSSEN etc. Na vijf mislukte inlogpogingen is het account
vergrendeld en kan de gebruiker niet meer inloggen. Op deze manier kunnen met behulp van een
script in een paar minuten honderden gebruikers worden uitgesloten. Als de gebruikersnamen zijn
gebaseerd op een volgnummer, bijvoorbeeld U00123456, dan is het voor de aanvaller nóg
makkelijker, omdat het dan makkelijker is om geldige gebruikersnamen te raden.
1
Impact van een locking-aanval
De impact van een locking-aanval is het grootst als de aanval vroeg in de ochtend van een werkdag
wordt uitgevoerd: gebruikers van SAP-systemen kunnen dan bij aanvang van hun werkdag geen
gebruik maken van SAP. Ook beheeraccounts kunnen zijn gelockt: in dat geval kunnen de beheerders
geen gebruikers unlocken. Schade komt voort uit het stilliggen van de interne bedrijfsprocessen. Een
grove raming daarvan is: aantal SAP-gebruikers x salaris per uur x verloren uren. (Vervangende
werkzaamheden en de eventuele gevolgen van uitstel van specifieke SAP-handelingen even buiten
beschouwing gelaten.) Als beheerders niet van binnenuit in staat zijn het systeem te ontgrendelen is
een herstart van SAP nodig.
Een locking-aanval kan ook gebruikt worden om tegenmaatregelen uit te lokken die zorgen voor een
nieuwe kwetsbaarheid. Als een nog ingelogde beheerder ontdekt dat er een locking-aanval gaande is,
zou hij kunnen besluiten alle gebruikers te unlocken. In dat geval unlockt hij misschien ook een
specifieke gebruiker waar de aanvaller het wachtwoord van weet. Denk hierbij aan een noodaccount.
De aanvrager krijgt een noodaccount voor een bepaalde taak. Aan het einde van de dag wordt het
noodaccount weer gelockt, maar heeft nog hetzelfde wachtwoord, tot een volgende gebruiker het
noodaccount opvraagt. In een vlaag van paniek zou een beheerder alle accounts, inclusief de
noodaccounts, kunnen unlocken. Als de aanvaller het wachtwoord van het noodaccount weet dan
kan hij die gebruiken. Hier vormen de tegenmaatregelen juist de kwetsbaarheid. Men moet dus
uitkijken met overhaaste acties.
Een account dat is vergrendeld na meerdere mislukte inlogpogingen.
Vergelijking met een DDoS-aanval
Een DDoS-aanval duurt vaak uren tot dagen en heeft vooral nadelige gevolgen voor de klanten van
een organisatie. Uit berichten in de media zijn DDoS-aanvallen op banken bekend. In een aantal
gevallen hadden klanten als gevolg daarvan geen toegang hadden tot internetbankieren, tot de
aanval was gestopt of gemitigeerd. Een DDoS-aanval heeft geen invloed op het saldo van de
rekeningen, en ook niet of nauwelijks op de interne bedrijfsprocessen van een organisatie. Als de
DDoS-aanval stopt, dan komt een dienst meestal snel weer beschikbaar. Het grote verschil tussen
een DDoS-aanval en een locking-aanval is dat als gevolg van een locking-aanval bedrijfsprocessen stil
kunnen komen te liggen. Hoe meer werknemers voor hun taken afhankelijk zijn van het systeem, hoe
groter de impact. Als SAP herstart moet worden, kan er bovendien ook sprake zijn van gevolgschade:
jobs die afgebroken worden en activiteiten niet afmaken; een afdeling die niet kan werken om dat
het systeem niet beschikbaar is; alle acties die hersteld worden en opnieuw uitgevoerd moeten
worden. Een locking-aanval levert dus in directe zin meer schade op dan een DDoS-aanval. Wel is het
2
zo dat een DDoS-aanval eerder de aandacht van media trekt, zeker indien de aanval voor vele
klanten resulteert in onbeschikbaarheid van een vaakgebruikte dienst (zoals internetbankieren). Een
DDoS-aanval kan dan ook reputatieschade veroorzaken.
Maatregelen via gateway
De enige werkelijk effectieve maatregel om een locking-aanval van buitenaf te voorkomen is het
gebruik van een “SAP NetWeaver”-gateway. Dit systeem wordt ook wel gebruikt om een SAP Portal
aan te koppelen. Dit is een systeem tussen de gebruiker en de SAP back-end. De gebruiker heeft
eigenlijk twee accounts: één op het gateway-systeem en één op de back-end. Op het moment dat er
een locking-aanval wordt uitgevoerd zal het account op de SAP NetWeaver-gateway gelockt worden,
maar niet op de back-end. Dit betekent dat de gebruiker even niet verder kan op de portal maar wel
op de back-end. De schade blijft in dat geval relatief beperkt.
Aanval van binnenuit
Heel anders is de situatie als er toch één enkele service met login vanuit de back-end naar buiten is
ontsloten. In dit geval kan de back-end toch gelockt worden van buitenaf. SAP heeft doorgaans een
aantal standaardservices open staan. Deze zijn meestal niet van buiten het bedrijf benaderbaar.
Je zou verwachten dat er dan geen probleem is, maar dat is toch niet zo. Het SAP-systeem kan nog
steeds door elke computer vanaf het eigen intranet geblokkeerd worden: dit zou zich kunnen
voordoen als gevolg van besmetting met malware die een “brute force”-aanval of locking-aanval
uitvoert. Besmette pc’s op een bedrijfsnetwerk komen regelmatig voor. Een scenario dat deze pc’s
een locking-aanval uitvoeren is niet onrealistisch.
Samenvatting
Een locking-aanval kan een SAP-systeem volledig afsluiten voor mensen die in willen loggen, en
veroorzaakt schade door het stilleggen van interne bedrijfsprocessen. Het gevaar van een lockingaanval zit in de eenvoud van de aanval en de directe gevolgen ervan. De kwetsbaarheid voor een
locking-aanval kan beperkt worden door gebruik te maken van een afzonderlijk SAP NetWeavergateway. Indien een locking-aanval zich van buitenaf voordoet, worden de externe gebruikers op
de gateway gelockt, en kunnen interne medewerkers doorwerken. De belangrijkste maatregel
daarna is dat er geen services van de SAP back-end naar buiten mogen. Binnen SAP bestaan er
standaard geen mogelijkheden te constateren dat er een locking-aanval heeft plaatsgevonden,
maar er bestaan mogelijkheden een zogenaamd “watchdog”-programma te gebruiken dat bij
constatering van een locking-aanval alleen de gelockte medewerkers vrijgeeft.
3

Download Report