Wie überprüft man alte Hashes in Ihrem ABAP-System?

Einer der wichtigsten Aspekte der Cybersicherheit ist die Sicherheit der Passwörter für unsere Systeme. In diesem Blogbeitrag befassen wir uns mit dem von SAP bereitgestellten Bericht„CLEANUP_PASSWORD_HASH_VALUES“, mit dem Sie überprüfen können, ob Ihr ABAP-System unsichere Hash-Werte enthält, welche Datensätze in der Datenbank redundante oder unsichere Hash-Werte aufweisen und welche Maßnahmen empfohlen werden.
 
Dieser Beitrag konzentriert sich auf die Analyse des Berichts „CLEANUP_PASSWORD_HASH_VALUES“, der ab SAP_BASIS 7.00 SP 23 (SAP-Hinweis Nr. 1458262) verfügbar ist. Er ist sehr nützlich, wenn Sie diejenigen Benutzer überprüfen und korrigieren möchten, die mehr als eine Art von Passwort-Hash haben. Wie in den vorherigen Beiträgen„Überprüfung der SAP-Passwortstärke – Teil I ABAP“und„Verständnis des SAP-CODVN-H-Algorithmus“ erläutert, ermöglicht SAP die Speicherung von mehr als einem Hash-Typ in Ihrem System, um die Kompatibilität mit älteren Systemen zu gewährleisten. Dies ist durch die Einstellung eines Parameters namens„login/password_downwards_compatibility“möglich. Die korrekte Konfiguration wird im weiteren Verlauf dieses Blogbeitrags erläutert.

Was passiert, wenn ich mehr als einen Hash-Typ habe?
SAP aktualisiert und verbessert Hash-Typen, da alte Typen veraltet und unsicher werden. Wenn wir die Hash-Versionen in unseren Systemen aktualisieren, werden die alten standardmäßig in unserer Systemdatenbank gespeichert. Wenn wir diese alten und unsicheren Hashes nicht löschen, sind unsere Systeme gefährdet. Die Konfiguration Ihrer Systeme mit der sichersten Einstellung garantiert nicht vollständig, dass ein Angreifer nicht einen anderen gespeicherten Hash-Typ ausnutzen könnte, um den Hash zu knacken, auf das System zuzugreifen und böswillige Aktionen durchzuführen.

Um die Sicherheit Ihrer ABAP-Systeme zu erhöhen, stellt SAP Ihnen den Report „CLEANUP_PASSWORD_HASH_VALUES“ zur Verfügung, der über die Transaktion SE38 ausgeführt werden kann. 

Hier zeigen wir die Aktionen, die nach der Ausführung des Berichts durchgeführt werden können.Es ist wichtig zu wissen, dass die Ergebnisse mandantenübergreifend sind, unabhängig davon, in welchem Mandanten der Bericht ausgeführt wird. Der Bericht überprüft drei Tabellen in der Datenbank: USR02, USH02 und USRPWDHISTORY. Die folgende Abbildung zeigt ein Beispiel für die Ausgabe:

Lassen Sie uns diese Zeile für Zeile analysieren, um sie besser zu verstehen und die nächsten Schritte festzulegen, die wir unternehmen sollten.
 

Tabelle USR02 prüfen

Datensätze mit doppelten Hash-Werten

Weist darauf hin, dass es Benutzer mit mehr als einem Hash-Typ gibt. Um herauszufinden, welche Benutzer in diesen 34 Datensätzen enthalten sind, fragen Sie die Tabelle USR02 mit folgender Anweisung ab:

SELECT MANDT, BNAME, CODVN
FROM USR02
WHERE CODVN IN (‘G’,’I’)

**Die Code-Version „I“ ist nur für SAP-Systeme ab Version 7.02 verfügbar.**

Datensätze mit suboptimalen Hash-Werten

Weist darauf hin, dass es Benutzer mit Hash-Werten gibt, die nicht in der aktuellen Version enthalten sind. In SAP-Systemen der Version 7.00/7.01 ist der letzte verfügbare Hash-Typ die Code-Version „F“. Derzeit ist die aktuelle Code-Version „H“. Aus diesem Grund wird dies als suboptimal, aber unkritisch angezeigt. Um die betroffenen Benutzer zu ermitteln, können Sie die folgende Anweisung ausführen:

SELECT MANDT, BNAME, CODVN
FROM USR02
WHERE CODVN = ‘F’

Datensätze mit alten Hash-Werten

Dieser erste Fall von veralteten Hash-Werten deutet darauf hin, dass in USR02 unsichere Hashes von Benutzern gespeichert sind. Der Bericht empfiehlt, die Benutzerkennwörter zu ändern, aber bei welchen Benutzern? Sie können diese Benutzer ermitteln, indem Sie folgende Anweisung ausführen:

SELECT MANDT, BNAME, CODVN, USTYP
FROM USR02
WHERE CODVN IN (‘B’,’E’)
AND USTYPE IN (‘A’,’C’)

Dieser zweite Fall von veralteten Hash-Werten betrifft Datensätze mit unsicheren Hashes, bei denen es sich um technische Konten handelt. Um diese Benutzer zu finden, können Sie folgende Anweisung ausführen

SELECT MANDT, BNAME, CODVN, USTYP
FROM USR02 WHERE CODVN IN (‘B’,’E’)
AND USTYPE NOT IN (‘A’,’C’)

Überprüfung der Tabelle USH02
Diese Tabelle dient SAP zur Speicherung der Änderungshistorie für Anmeldedaten. Genau wie bei der Tabelle USR02 zeigt dies die Anzahl der Datensätze an, die redundante Hash-Werte in der Tabelle USH02 aufweisen.

Datensätze, in denen mehr als ein Hash-Wert gespeichert ist

Um diese Datensätze zu finden, können Sie folgende Anweisung ausführen:

SELECT MANDT, BNAME, CODVN
FROM USH02
WHERE CODVN IN(‘G’,’I’)

Datensätze mit suboptimalem Hashwert

In der zweiten Zeile werden die Datensätze angezeigt, deren Hash-Werte nicht in der letzten Version enthalten sind. Dies ist derselbe Fall wie bei der Tabelle USR02. Mit der folgenden Anweisung können Sie die Datensätze im Detail anzeigen:

SELECT MANDT, BNAME, CODVN
FROM USH02 WHERE CODVN = ‘F’

Datensätze mit alten Hash-Werten

Die letzte Zeile für die Tabelle USH02 zeigt Datensätze an, in denen unsichere Hash-Werte gespeichert sind. Um diese Datensätze in der SAP-Datenbank zu finden, können Sie folgende Anweisung ausführen:

SELECT MANDT, BNAME, CODVN, USTYP
FROM USH02
WHERE CODVN IN (‘B’,’E’)

Tabelle „USRPWDHISTORY“ prüfen

Datensätze, in denen mehr als ein Hash-Wert gespeichert ist

Die letzte Prüfung analysiert die Tabelle „USRPWDHISTORY“. Die Prüfungen entsprechen denen für „USH02“. Um diese Datensätze anzuzeigen, können Sie folgende Anweisung ausführen:

SELECT MANDT, BNAME, CODVN
FROM USRPWDHISTORY
WHERE CODVN IN(‘G’,’I’)

Datensätze, deren Hash-Version nicht die aktuellste ist

Sie finden diese Datensätze unter:

SELECT MANDT, BNAME, CODVN
FROM USH02
WHERE CODVN = ‘F’

Es wurden Datensätze mit einem veralteten Hash-Wert gefunden

Führen Sie die folgende Abfrage aus:

SELECT MANDT, BNAME, CODVN, USTYP
FROM USRPWDHISTORY
WHERE CODVN IN(‘B’,’E’)

Empfehlungen
Am Ende des Berichts finden wir verschiedene empfohlene Maßnahmen, die wir umsetzen können.

1. Parameter „login/password_downwards_compatibility“ festlegen

Die erste empfohlene Maßnahme betrifft den Parameter „login/password_downwards_compatibility“. Falls Sie diesen Parameter mit einem anderen als dem empfohlenen Wert konfiguriert haben, wird dies im Bericht angezeigt. Um den empfohlenen Wert einzustellen, müssen Sie die Transaktion RZ10 aufrufen, den Parameter ändern, das Profil speichern und den Anwendungsserverdienst neu starten.

2.Alle überflüssigen Hash-Werte löschen

Weitere empfohlene Maßnahmen betreffen die Änderung von Datensätzen, die redundante Hash-Werte enthalten. Um diese Maßnahme durchzuführen, müssen Sie lediglich auf die Meldung „(Hier klicken, um zu beginnen…)“ klicken und die Aktion anschließend im Popup-Fenster bestätigen.

Sobald die Aktion bestätigt wurde, werden Ihnen im Bericht die verarbeiteten Datensätze angezeigt.

3. Legen Sie die Parameter der Passwortrichtlinie mit den empfohlenen Werten fest

Eine weitere Maßnahme zielt darauf ab, die Verwendung sicherer Passwörter durchzusetzen. In diesem Abschnitt werden Parameterwerte empfohlen und der aktuell im System konfigurierte Wert angezeigt.

4. Neues Passwort für technische Konten festlegen

Im letzten Punkt wird empfohlen, die Passwörter für die aufgeführten technischen Benutzer zu ändern oder neue Passwörter festzulegen. Um für diese Benutzerkonten neue Passwörter festzulegen, müssen Sie zuvor den Parameter „login/password_downwards_compatibility“ mit dem empfohlenen Wert setzen und über ein SAP-System mit der neuesten Hash-Version verfügen.

Fazit: „
“ Wir bei Onapsis haben es uns zur Aufgabe gemacht, unseren Kunden die besten Empfehlungen und Lösungen für die Sicherheit ihrer SAP-Systeme zu bieten. Aus diesem Grund verfügen wir in derOnapsis Security Platform(OSP) über ein Modul, mit dem Sie alle Benutzer identifizieren können, die unsichere Hash-Werte verwenden, und die passenden Lösungen für Ihr System bereitstellen können.

Es ist äußerst wichtig, sich der Risiken bewusst zu sein, die mit redundanten und unsicheren Hash-Werten verbunden sind, da diese unsere SAP-Systeme für Brute-Force- oder Rainbow-Table-Angriffe anfällig machen können. Führen Sie regelmäßige Überprüfungen Ihrer Clients durch, erhöhen Sie die Sicherheit Ihres Systems und verringern Sie das Risiko der oben genannten Angriffe. Zögern Sie nicht, uns um weitere Informationen darüber zu bitten, wie OSP Ihre geschäftskritischen Anwendungen schützen kann.
 

Weitere Ressourcen

• Die Log4j-Sicherheitslücke und ihre Auswirkungen auf geschäftskritische SAP-Anwendungen

• SAP-Sicherheit: Ein Rückblick auf die Höhepunkte des Jahres 2021

• Das offensichtliche Problem, das niemand ansprechen will: Ältere, ungepatchte SAP-Sicherheitslücken stellen nach wie vor eine Bedrohung dar