TMSADM-Benutzer mit Standardpasswort: Ein weiteres Risiko in Ihrem SAP-System

Wie unsere Leser wissen, veröffentlichen wir regelmäßig Informationen, um das Bewusstsein zu schärfen und Unternehmen dabei zu unterstützen, ihre SAP-Cybersicherheitsinfrastruktur weiter zu sichern. In diesem Blogbeitrag konzentrieren wir uns auf einen der bekannten SAP-Standardbenutzer: TMSADM. Welche Sicherheitsrisiken bestehen, wenn dieser Benutzer mit Standardkennwörtern aktiviert ist, und wie lässt er sich angemessen schützen? Wie Sie sich vorstellen können, ist das nicht so einfach, wie es klingt – deshalb haben wir diesen Blogbeitrag für Sie verfasst.

Wann immer ein neues SAP-System eingerichtet, aktualisiert, kopiert oder aus einem Backup wiederhergestellt wird, sollte einer der allerersten Schritte eines SAP-Sicherheitsadministrators darin bestehen, zu überprüfen, ob das Standardpasswort dieses von SAP bereitgestellten Standardbenutzers geändert, gesperrt oder (in einigen Fällen) entfernt wurde. Kurz gesagt ist TMSADM ein Systembenutzer, der bei der Konfiguration des Transport Management Systems (TMS) auf allen ABAP-Systemen im Mandanten 000 angelegt wird, wie in der folgenden Tabelle dargestellt:

Bei jeder Konfiguration von TMS wird der Benutzer „TMSADM“ angelegt. Auch wenn wir die Funktionsweise von TMS hier nicht ausführlich erläutern werden, halten wir es dennoch für wichtig, zumindest zu erwähnen, wie dieser Benutzer standardmäßig angelegt wird. SAP geht in der Regel von einer Systemlandschaft mit einer 3-Tier-Architektur aus, wie z. B. DEV (Entwicklung), QAS (Qualitätssicherung) und PRD (Produktion). Eines der Systeme muss als Transport Domain Controller konfiguriert werden, und diese Konfiguration muss im Rahmen der Implementierung vorgenommen werden. Die Transaktion zur Konfiguration des Transportmanagements lautet STMS:

Das TMS stellt automatisch RFC-Verbindungen zwischen den Systemen einer Domäne her, damit diese miteinander kommunizieren können. Innerhalb einer Transportdomäne können alle SAP-Systeme über RFC miteinander kommunizieren. Der Datenaustausch zwischen den Systemen erfolgt über die RFC-Verbindungen des TMS.

Über den Benutzer „TMSADM“

Der Benutzer „TMSADM“ wird für Übertragungen über das Transportsystem verwendet. Er wird bei der Konfiguration des Transport Management Systems (TMS) über den Mandanten 000 automatisch angelegt. TMSADM ist ein Systembenutzer, dessen Berechtigungen auf bestimmte Anzeige- und TMS-Konfigurationsaktivitäten beschränkt sind. TMSADM verfügt über Anzeigeberechtigungen für Folgendes:

• Systemeigenschaften
• Transportkonfiguration
• Transportprotokolle und Datendateien (Inhalt der Transportaufträge)
• Importwarteschlangen

TMSADM ist ein Kommunikationsbenutzer, da er für die Verteilung von Transportkonfigurationsänderungen an Systeme der aktuellen Transportdomäne verwendet wird. Mit anderen Worten: Der Benutzer TMSADM ermöglicht es Ihnen, die Grundkonfiguration vom Domänencontroller aus an alle SAP-Systeme in der Domäne zu verteilen und die Importwarteschlange anzuzeigen. Das Standardprofil für den Benutzer ist S.A_TMSADM, das die Nutzung von RFC-Funktionen innerhalb der GUI sowie das Schreiben in ein Dateisystem ermöglicht. Sie dürfen dieses Profil niemals erweitern oder dem Benutzer ein eigenes Profil oder eine eigene Rolle hinzufügen.

Wie andere Standardbenutzer verfügt auch TMSADM über ein Standardpasswort.

Das Risiko des Standardpassworts für TMSADM verstehen

Wie im vorigen Absatz erwähnt, ist das Standardpasswort des Benutzers „TMSADM“ allgemein bekannt und lässt sich daher leicht erraten. Nach dem erfolgreichen Erraten des Passworts kann ein Angreifer aus der Ferne RFC-Anfragen starten, um kritische Aktionen wie das Löschen und Lesen von Dateien (EPS_DELETE_FILE, EPS_OPEN_FILE2) durchzuführen, oder er kann beliebigen ABAP-Code über die Schwachstellen der Funktionen RFC_ABAP_INSTALL_AND_RUN oder TTMS_CI_START_SERVICE ausführen. Darüber hinaus kann ein Angreifer mithilfe der Anfragen BAPI_USER_CREATE1 und SUSR_RFC_USER_INTERFACE einen Dialogbenutzer anlegen und sich folglich mit uneingeschränktem Zugriff auf Geschäftsdaten in das System einloggen.

Um das Passwort von TMSADM über das SAP GUI ordnungsgemäß zu überprüfen, können Sie den Report RSUSR003 verwenden. Dieser dient dazu, sicherzustellen, dass der Benutzer TMSADM angelegt wurde und dass das Standardpasswort für diesen Benutzer geändert wurde. Führen Sie die folgenden Schritte aus, um den Report RSUSR003 auszuführen:

1. Rufen Sie die Transaktion SE38 auf. Daraufhin wird das folgende Fenster angezeigt:

2. Geben Sie im Programmfeld „RSRUSR003“ ein und klicken Sie auf die Schaltfläche „Ausführen“ oder drücken Sie die Taste F8.
OPTIONAL: Deaktivieren Sie gegebenenfalls das Kontrollkästchen „Profilparameter anzeigen“ und drücken Sie die Taste F8.

3. Es wird eine Liste der SAP-Standardbenutzer angezeigt, aus der hervorgeht, ob der Benutzer gesperrt ist und ob das Passwort gegenüber dem Standardwert geändert wurde.

Wie schützt man TMSADM?

In den letzten Jahren hat SAP verschiedene Hinweise veröffentlicht, in denen erläutert wird, wie das Passwort des TMSADM-Benutzers geändert werden kann. Einer der interessantesten istder Hinweis 1414256 – „Das Ändern des TMSADM-Passworts ist zu komplex“. Seitdem ist jedoch einige Zeit vergangen, und die Lösung hat sich geändert. Die korrekte Vorgehensweise finden Sie im Folgenden. Um das Passwort des TMSADM-Benutzers zu ändern, müssen Sie die folgenden Schritte ausführen:

1. Geben Sie den Mandanten 000 ein, während Sie als Administrator angemeldet sind.

2. Führen Sie die Transaktion SE38 aus und starten Sie das Programm TMS_UPDATE_PWD_OF_TMSADM.

3. Geben Sie ein Passwort in die Felder ein, wie unten gezeigt:

Stellen Sie sicher, dass dieser Benutzer in allen Clients zur SUPER-Gruppe gehört. So können Sie sicher sein, dass nur autorisierte Administratoren das Recht haben, das Konto dieses Benutzers zu ändern.

Schlussfolgerungen

Es ist wichtig, sich der Risiken bewusst zu sein, die entstehen, wenn das Standardpasswort für TMSADM nicht geändert wird. Es ist bekannt, dass Sicherheitsforscher weltweit mithilfe von Standardpasswörtern Zugriff auf Standard-SAP-Konten in Unternehmenssystemen erlangen konnten. Tatsächlich sind die gut dokumentierten und veröffentlichten Standardpasswörter der Standarddatenbank eine der ersten „Türen“, die ein unbefugter Benutzer zu öffnen versucht.

Führen Sie regelmäßige Überprüfungen bei Ihren Kunden durch, um das Risiko eines unbefugten Zugriffs auszuschließen. Platform Onapsis Security Platform OSP) kann Ihnen dabei helfen, sich vor diesem und anderen Angriffen zu schützen. Unser Tool ist in der Lage, nicht nur anfällige Standardbenutzer wie TMSADM zu erkennen, sondern auch eine Vielzahl verschiedener Schwachstellen, die mit Standardbenutzern in Verbindung stehen. Neben TMSADM gibt es weitere Benutzer, die mit einem Standardpasswort konfiguriert sind. Und wie wir bereits gezeigt haben, könnte sich ein unbefugter Benutzer über diese Konten anmelden und Zugriff auf das System erlangen.