Destacados del análisis de contraseñas por defecto en SAP:
- Qué es – Los sistemas SAP NetWeaver incluyen usuarios y contraseñas por defecto que son conocidos públicamente y representan un riesgo de seguridad crítico si no se modifican.
- Riesgo – Usuarios como SAP*, DDIC, TMSADM, EARLYWATCH y SAPCPIC vienen con contraseñas predefinidas que los atacantes conocen y explotan activamente.
- Solución – Cambiar todas las contraseñas por defecto por contraseñas seguras y deshabilitar los usuarios que no sean necesarios. Ejecutar el reporte RSUSR003 para identificar vulnerabilidades.
Introducción
Los sistemas SAP NetWeaver y S/4HANA se entregan con una serie de usuarios estándar que incluyen contraseñas por defecto. Estas combinaciones de usuario/contraseña son ampliamente conocidas en la comunidad de seguridad y constituyen uno de los vectores de ataque más explotados en entornos SAP mal configurados.
Este artículo recopila las contraseñas por defecto más comunes en sistemas SAP y proporciona recomendaciones para mitigar los riesgos asociados.
Usuarios y contraseñas por defecto en SAP NetWeaver
La siguiente tabla muestra los usuarios estándar de SAP y sus contraseñas por defecto más conocidas. Es fundamental verificar que ninguna de estas combinaciones esté activa en su sistema.
| Usuario | Contraseña por defecto | Descripción |
|---|---|---|
| SAP* | PASS | Superusuario inicial de SAP; la contraseña más conocida y peligrosa si no se cambia |
| SAP* | 06071992 | Variante alternativa de la contraseña del superusuario SAP* |
| DDIC | 19920706 | Usuario del Diccionario de Datos ABAP; permite acceso a la configuración del sistema |
| EARLYWATCH | SUPPORT | Usuario del servicio EarlyWatch de SAP; utilizado para monitorización remota |
| TMSADM | PASSWORD | Usuario de Transport Management System; controla los cambios entre sistemas |
| TMSADM | $1Pawd2& | Variante alternativa de contraseña para TMSADM en versiones más recientes |
| SAPCPIC | ADMIN | Usuario para comunicación CPIC; con frecuencia olvidado y con contraseña débil |
Cómo verificar las contraseñas por defecto en su sistema SAP
Para identificar vulnerabilidades relacionadas con contraseñas por defecto en su sistema SAP, siga estos pasos:
- Acceda a SAP GUI – Conéctese a su sistema SAP NetWeaver o S/4HANA mediante SAP GUI.
- Ejecute la transacción SA38 o SE38 – Ambas permiten ejecutar reportes ABAP.
- Ejecute el reporte RSUSR003 – Introduzca «RSUSR003» en el campo de programa y pulse F8 dos veces. Este reporte identifica automáticamente problemas relacionados con contraseñas por defecto y cuentas estándar.
Además, se recomienda probar las combinaciones de usuario/contraseña en los mandantes típicos: 000, 001, 066 y cualquier otro mandante creado por el cliente. Tenga precaución durante las pruebas, ya que demasiados intentos fallidos pueden bloquear las cuentas.
Recomendaciones de seguridad
- Cambiar todas las contraseñas por defecto – Sustituir las contraseñas predeterminadas por contraseñas seguras que cumplan la política de contraseñas de la organización.
- Deshabilitar cuentas innecesarias – Si un usuario estándar no se utiliza, debe deshabilitarse o eliminarse. Por ejemplo, EARLYWATCH puede desactivarse si no se utiliza el servicio EarlyWatch.
- Proteger el usuario SAP* – Además de cambiar su contraseña, activar el parámetro
login/no_automatic_user_sapstar = 1para evitar que SAP* se reactive automáticamente. - Establecer políticas de contraseñas robustas – Configurar los parámetros de perfil de seguridad: longitud mínima de 8 caracteres, combinación de mayúsculas, minúsculas y dígitos, y caducidad cada 90 días.
- Auditar regularmente – Ejecutar RSUSR003 de forma periódica y revisar los logs de seguridad (transacción SM19/SM20) para detectar intentos de acceso no autorizados.
- Revisar mandantes – Verificar las contraseñas por defecto en todos los mandantes del sistema, no solo en el mandante de producción.
Conclusión
Las contraseñas por defecto en SAP son uno de los riesgos de seguridad más básicos y a la vez más frecuentes en entornos SAP. Una configuración inicial inadecuada puede exponer todo el sistema a compromisos graves. La revisión y el cambio de estas contraseñas debe ser una prioridad en cualquier proyecto de hardening de SAP.
Se recomienda incluir esta verificación como parte del proceso de puesta en producción de nuevos sistemas SAP y en las auditorías periódicas de seguridad.
¿Te ayudamos?
Contamos con una base de consultores certificados por SAP que brindan un excelente servicio de Administración SAP así como el análisis de vulnerabilidades SAP y remediación de las mismas.
Puedes contactarnos a través del formulario de contacto o a través de nuestra dirección de correo electrónico contacto@aurit.es
En AURIT estaremos encantados de poder ayudarte.