Storevirtual-Produkte haben eine bisher unbekannte Hintertür.
Storevirtual-Produkte haben eine bisher unbekannte Hintertür. (Bild: HP)

Storevirtual HP-Support-Konto bietet unautorisierten Zugang auf Server

Die HP-Server-Produkte der Storevirtual-Serie haben einen bisher unbekannten Zugang samt Root-Zugriff. HP nutzt diesen Zugang unter anderem, um vergessene Passwörter beim Kunden zurückzusetzen. Über einen kommenden Patch will HP die Sicherheitslücke noch in der nächsten Woche schließen.

Anzeige

In einem Security Bulletin warnt HP vor einem Sicherheitsproblem, das der Konzern für sich selbst in diverse Serverhardware eingebaut hat. Betroffen sind dabei laut HP nicht nur die eigenen Storevirtual-Systeme. HP listet auch einzelne Systeme von Dell und IBM in seinem Security Bulletin.

Mit dem HP-Support-Konto bekommt der Angreifer Zugriff auf das Lefthand-OS ab Version 10.5 inklusive Root-Zugang. So tief kommen nicht einmal die Besitzer der Geräte heran. Sie haben nur einen begrenzten Zugang auf das Betriebssystem über ein HP CLI (Command Line Interface), das für das Storevirtual-System geschaffen wurde. Zudem wissen die Gerätebesitzer nichts von dem Zugang, da er bisher nicht dokumentiert wurde.

Den Root-Zugriff braucht HP laut eigener Darstellung für die Produktunterstützung. HP nutzt dafür im Haus ein Passwortwerkzeug, das einmalige Passwörter für den Support erzeugt. Mit dem Root-Zugang kommt HP zwar nicht an die Daten heran, wohl aber an kritische Bereiche für die Steuerung des Systems.

So einmalig sind die Passwörter laut einem Bericht von The Register anscheinend nicht. Seitdem die Umstände bekanntwurden, sollen der Nutzername des Kontos und auch das Passwort bereits im Umlauf sein. The Register beklagt zudem den extrem einfachen Aufbau des Passworts. Selbst Webseiten haben höhere Passwortanforderungen als HP bei seinen Speichersystemen. HP verzichtet für das Supportkonto mit Rootzugang auf Ziffern, Symbole und große Buchstaben, so der Bericht. Mit dem einfachen Passwort soll zudem ein Factory-Reset möglich sein, womit auch alle Daten gelöscht werden.

Auf Hinweise der Sicherheitslücke ist zuvor der Blogger Technion gestoßen, wie The Register berichtete. In Supportforen wurden Nutzer der Speichersysteme, die ihr Passwort vergessen haben, an den HP-Support verwiesen, der Passwörter auf den Geräten zurücksetzen kann. Eine ähnliche Sicherheitslücke hatte Technion erst vor wenigen Wochen in Storeonce-Produkten von HP entdeckt. Wobei auch hier keine Sicherheitslücke im klassischen Sinn vorhanden war. Ein Angreifer musste keine Anwendung zum Absturz bringen und dann Code ausführen, sondern auch hier nur das HP-Support-Konto samt dem Passwort kennen, das ohne Wissen der Gerätebesitzer auf diesen Systemen hinterlegt war.

HP verspricht, das Problem mit den geheimen Zugängen bei den Storevirtual-Produkten bis spätestens 17. Juli 2013 zu beseitigen. Bis dahin müssen Administratoren andere Wege finden, um ihre Systeme vor unautorisiertem Zugriff zu schützen.


iRofl 14. Jul 2013

HP eben. Was hast du erwartet? Dass die etwas besser sind als IBM? :D Hah, geil. Nur...

anybody 13. Jul 2013

Sind halt auch etwas professioneller als die Stümper bei HP. Der authorized key dürfte...

HerrMannelig 13. Jul 2013

und gar nicht für NSA, nein ^^

IT-Philosoph 13. Jul 2013

Der NSA könnte es nützen.

Kommentieren



Anzeige

  1. Programmierer / (Medizin-)Informatiker (m/w)
    Krebsregister Rheinland-Pfalz gGmbH, Mainz
  2. (Junior) Software Developer (m/w) für den Bereich Web-UI - Energy
    Bosch Software Innovations GmbH, Immenstaad
  3. Testingenieur (m/w)
    MBtech Group GmbH & Co. KGaA, Neutraubling, Regensburg
  4. IT System Engineer Netzwerktechnik (m/w)
    Technische Universität Darmstadt, Darmstadt

 

Detailsuche


Top-Angebote
  1. NEU: Batman Wochenend-Deal bei Steam
  2. VORBESTELL-TOPSELLER: Game of Thrones - Die komplette 5. Staffel [Blu-ray]
    39,99€ (Vorbesteller-Preisgarantie)
  3. 5 EURO GÜNSTIGER: The Witcher 3: Wild Hunt
    44,99€ USK 18

 

Weitere Angebote


Folgen Sie uns
       


  1. Fahrdienst

    Uber testet autonome Autos in Pittsburgh

  2. Google I/O

    Spezielles Google-Betriebssystem für Internet der Dinge

  3. Mission Impossible

    Hardware zerstört sich durch Hitze selbst

  4. Crowdfunding

    Jugend programmiert auf Kickstarter

  5. App Home

    Apple soll mit iOS 9 voll auf Heimautomation setzen

  6. Apple Watch

    Pulsmesser funktioniert nach Update nicht mehr korrekt

  7. HUK-Coburg

    Autoversicherung will Fahrverhalten bei Tarifen berücksichtigen

  8. Unsensible Verschlagwortung

    Flickr sorgt mit Automatik-Tags für Aufregung

  9. BND-Chef Schindler

    "Wir sind abhängig von der NSA"

  10. Electronic Arts

    Neustart für Need for Speed



Haben wir etwas übersehen?

E-Mail an news@golem.de



Surface 3 im Test: Tolles teures Teil
Surface 3 im Test
Tolles teures Teil
  1. Surface Pro 3 Microsoft erhöht Preise um bis zu 250 Euro
  2. Surface 3 im Hands on Das Surface ohne RT

BSI: Akte E, die ungelösten Fälle der elektronischen Aktenführung
BSI
Akte E, die ungelösten Fälle der elektronischen Aktenführung
  1. Kritik an Gesetzentwurf Eco hält Vorratsdatenspeicherung für nicht umsetzbar
  2. Geheimdienst-Affäre BND plante Operation ohne Wissen des Kanzleramtes
  3. IT-Sicherheitsgesetz CCC lehnt BSI als Meldestelle ab

Skype-Translator-Vorschau ausprobiert: Hasta la vista, baby!
Skype-Translator-Vorschau ausprobiert
Hasta la vista, baby!
  1. EU-Gericht Sky und Skype sind zum Verwechseln ähnlich
  2. Videochat Skype bekommt ein Web-SDK
  3. Apps und Dienste Cyanogen geht Partnerschaft mit Microsoft ein

  1. Re: Geplante Obsoleszenz ist doch was feines

    im0lino | 11:55

  2. Re: Wie viel Geld haben Golemmitarbeiter in...

    debattierer | 11:55

  3. Re: Aufregend wäre es

    bofhl | 11:55

  4. Re: Nur 32MB oder 64MB

    Freiberufler | 11:55

  5. Bloatware

    schap23 | 11:54


  1. 11:52

  2. 11:12

  3. 10:56

  4. 10:28

  5. 09:54

  6. 09:15

  7. 09:01

  8. 08:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel