# 3299/tcp - Pentesting SAProuter

Reading time: 7 minutes

PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

Este é um resumo do post de https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/

Compreendendo a Penetração do SAProuter com Metasploit

O SAProuter atua como um proxy reverso para sistemas SAP, principalmente para controlar o acesso entre a internet e redes internas SAP. Ele é comumente exposto à internet permitindo a passagem da porta TCP 3299 através de firewalls organizacionais. Essa configuração torna o SAProuter um alvo atraente para pentesting, pois pode servir como um gateway para redes internas de alto valor.

Escaneamento e Coleta de Informações

Inicialmente, um escaneamento é realizado para identificar se um SAP router está em execução em um determinado IP usando o módulo sap_service_discovery. Esta etapa é crucial para estabelecer a presença de um SAP router e sua porta aberta.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Após a descoberta, uma investigação adicional na configuração do SAP router é realizada com o módulo sap_router_info_request para potencialmente revelar detalhes da rede interna.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

Enumerando Serviços Internos

Com as informações obtidas da rede interna, o módulo sap_router_portscanner é usado para sondar hosts e serviços internos através do SAProuter, permitindo uma compreensão mais profunda das redes internas e das configurações de serviços.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

A flexibilidade deste módulo em direcionar instâncias e portas SAP específicas o torna uma ferramenta eficaz para exploração detalhada da rede interna.

Enumeração Avançada e Mapeamento de ACL

A varredura adicional pode revelar como as Listas de Controle de Acesso (ACLs) estão configuradas no SAProuter, detalhando quais conexões são permitidas ou bloqueadas. Esta informação é fundamental para entender as políticas de segurança e as potenciais vulnerabilidades.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

Enumeração Cega de Hosts Internos

Em cenários onde as informações diretas do SAProuter são limitadas, técnicas como a enumeração cega podem ser aplicadas. Essa abordagem tenta adivinhar e verificar a existência de nomes de hosts internos, revelando alvos potenciais sem endereços IP diretos.

Aproveitando Informações para Testes de Penetração

Tendo mapeado a rede e identificado serviços acessíveis, os testadores de penetração podem utilizar as capacidades de proxy do Metasploit para pivotar através do SAProuter para uma exploração e exploração adicionais de serviços SAP internos.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Conclusão

Esta abordagem destaca a importância de configurações seguras do SAProuter e ressalta o potencial de acesso a redes internas por meio de testes de penetração direcionados. Proteger adequadamente os roteadores SAP e entender seu papel na arquitetura de segurança da rede é crucial para proteger contra acessos não autorizados.

Para informações mais detalhadas sobre módulos do Metasploit e seu uso, visite o banco de dados da Rapid7.

Vulnerabilidades Recentes (2022-2025)

CVE-2022-27668 – Controle de Acesso Inadequado ➜ Execução Remota de Comandos Administrativos

Em junho de 2022, a SAP lançou a Nota de Segurança 3158375 abordando uma falha crítica (CVSS 9.8) no SAProuter (todos os kernels ≥ 7.22). Um atacante não autenticado pode abusar de entradas permissivas saprouttab para enviar pacotes de administração (por exemplo, shutdown, trace-level, connection-kill) de um host remoto, mesmo quando o roteador foi iniciado sem a opção de administração remota -X.

O problema resulta da possibilidade de construir um túnel para a própria interface de loopback do roteador, direcionando-se para o endereço não especificado 0.0.0.0. Uma vez que o túnel é estabelecido, o atacante ganha privilégios de host local e pode executar qualquer comando administrativo.

A exploração prática pode ser reproduzida com o framework pysap:

# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0    -r 3299 \
-a 127.0.0.1  -l 3299 -v

# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299

Versões afetadas

• SAProuter autônomo 7.22 / 7.53
• Kernel 7.49, 7.77, 7.81, 7.85–7.88 (incl. KRNL64NUC/UC)

Correção / Mitigação

1. Aplique o patch entregue com a Nota SAP 3158375.
2. Remova alvos curinga (*) das linhas P e S em saprouttab.
3. Certifique-se de que o roteador seja iniciado sem a opção -X e não esteja exposto diretamente à Internet.

Ferramentas & Truques Atualizados

• pysap – mantido ativamente e fornece router_portfw.py, router_admin.py & router_trace.py para criar pacotes NI/Roteador personalizados, fuzzing de ACLs ou automatizar a exploração do CVE-2022-27668.
• Nmap – estenda a detecção de serviços adicionando a sonda SAProuter personalizada:

Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/

Combine com scripts NSE ou --script=banner para identificar rapidamente versões que vazam a string do banner (SAProuter <ver> on '<host>').

• Metasploit – os módulos auxiliares mostrados acima ainda funcionam através de um proxy SOCKS ou NI criado com pysap, permitindo integração total com o framework mesmo quando o roteador bloqueia o acesso direto.

Lista de Verificação de Dureza & Detecção

• Filtre a porta 3299/TCP no firewall de perímetro – permita tráfego apenas de redes de suporte SAP confiáveis.
• Mantenha o SAProuter totalmente atualizado; verifique com saprouter -v e compare com o nível de patch do kernel mais recente.
• Use entradas estritas e específicas para o host em saprouttab; evite curingas * e negue regras P/S que visem hosts ou portas arbitrárias.
• Inicie o serviço com -S <secudir> + SNC para impor criptografia e autenticação mútua.
• Desative a administração remota (-X) e, se possível, vincule o listener a 127.0.0.1 enquanto usa um proxy reverso externo para o tráfego necessário.
• Monitore o log dev_rout para pacotes ROUTER_ADM suspeitos ou solicitações NI_ROUTE inesperadas para 0.0.0.0.

Referências

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/
• https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/

Shodan

• port:3299 !HTTP Network packet too big