Abo
  • Services:
Anzeige
Storevirtual-Produkte haben eine bisher unbekannte Hintertür.
Storevirtual-Produkte haben eine bisher unbekannte Hintertür. (Bild: HP)

Storevirtual HP-Support-Konto bietet unautorisierten Zugang auf Server

Die HP-Server-Produkte der Storevirtual-Serie haben einen bisher unbekannten Zugang samt Root-Zugriff. HP nutzt diesen Zugang unter anderem, um vergessene Passwörter beim Kunden zurückzusetzen. Über einen kommenden Patch will HP die Sicherheitslücke noch in der nächsten Woche schließen.

Anzeige

In einem Security Bulletin warnt HP vor einem Sicherheitsproblem, das der Konzern für sich selbst in diverse Serverhardware eingebaut hat. Betroffen sind dabei laut HP nicht nur die eigenen Storevirtual-Systeme. HP listet auch einzelne Systeme von Dell und IBM in seinem Security Bulletin.

Mit dem HP-Support-Konto bekommt der Angreifer Zugriff auf das Lefthand-OS ab Version 10.5 inklusive Root-Zugang. So tief kommen nicht einmal die Besitzer der Geräte heran. Sie haben nur einen begrenzten Zugang auf das Betriebssystem über ein HP CLI (Command Line Interface), das für das Storevirtual-System geschaffen wurde. Zudem wissen die Gerätebesitzer nichts von dem Zugang, da er bisher nicht dokumentiert wurde.

Den Root-Zugriff braucht HP laut eigener Darstellung für die Produktunterstützung. HP nutzt dafür im Haus ein Passwortwerkzeug, das einmalige Passwörter für den Support erzeugt. Mit dem Root-Zugang kommt HP zwar nicht an die Daten heran, wohl aber an kritische Bereiche für die Steuerung des Systems.

So einmalig sind die Passwörter laut einem Bericht von The Register anscheinend nicht. Seitdem die Umstände bekanntwurden, sollen der Nutzername des Kontos und auch das Passwort bereits im Umlauf sein. The Register beklagt zudem den extrem einfachen Aufbau des Passworts. Selbst Webseiten haben höhere Passwortanforderungen als HP bei seinen Speichersystemen. HP verzichtet für das Supportkonto mit Rootzugang auf Ziffern, Symbole und große Buchstaben, so der Bericht. Mit dem einfachen Passwort soll zudem ein Factory-Reset möglich sein, womit auch alle Daten gelöscht werden.

Auf Hinweise der Sicherheitslücke ist zuvor der Blogger Technion gestoßen, wie The Register berichtete. In Supportforen wurden Nutzer der Speichersysteme, die ihr Passwort vergessen haben, an den HP-Support verwiesen, der Passwörter auf den Geräten zurücksetzen kann. Eine ähnliche Sicherheitslücke hatte Technion erst vor wenigen Wochen in Storeonce-Produkten von HP entdeckt. Wobei auch hier keine Sicherheitslücke im klassischen Sinn vorhanden war. Ein Angreifer musste keine Anwendung zum Absturz bringen und dann Code ausführen, sondern auch hier nur das HP-Support-Konto samt dem Passwort kennen, das ohne Wissen der Gerätebesitzer auf diesen Systemen hinterlegt war.

HP verspricht, das Problem mit den geheimen Zugängen bei den Storevirtual-Produkten bis spätestens 17. Juli 2013 zu beseitigen. Bis dahin müssen Administratoren andere Wege finden, um ihre Systeme vor unautorisiertem Zugriff zu schützen.


eye home zur Startseite
iRofl 14. Jul 2013

HP eben. Was hast du erwartet? Dass die etwas besser sind als IBM? :D Hah, geil. Nur...

anybody 13. Jul 2013

Sind halt auch etwas professioneller als die Stümper bei HP. Der authorized key dürfte...

HerrMannelig 13. Jul 2013

und gar nicht für NSA, nein ^^

IT-Philosoph 13. Jul 2013

Der NSA könnte es nützen.



Anzeige

Stellenmarkt
  1. ADG Apotheken-Dienstleistungsgesellschaft mbH, Leipzig
  2. Daimler AG, Stuttgart
  3. GRUNDFOS GMBH, Bjerringbro (Dänemark)
  4. ibau GmbH, Münster


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Tipps für IT-Engagement in Fernost
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Telltale Games

    2.000 Batman-Spieler treffen die Entscheidungen

  2. Deutsche Telekom

    Einblasen von Glasfaser auf drei Kilometern am Stück möglich

  3. Tor Hidden Services

    Über 100 spionierende Tor-Nodes

  4. Auftragsfertiger

    AMD lässt Chips bei Samsung produzieren

  5. In-Car-Delivery

    DHL macht den Smart zur Paketstation

  6. Huawei Matebook im Test

    Guter Laptop-Ersatz mit zu starker Konkurrenz

  7. Neue Funktionen

    Mit Google Maps die interessanten Ecken finden

  8. Google

    Nexus 9 erhält keine Vulkan-Unterstützung

  9. Webrender

    Servo soll GPU-Backend standardmäßig nutzen

  10. Pilotprojekt

    EU will Open Source sicherer machen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!

Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

  1. Re: sind ITler in der IG Metall?

    genab.de | 14:12

  2. Re: Vermutlich auch interessant bei Stromausfall...

    chewbacca0815 | 14:11

  3. Re: Schon wieder das Märchen von den IT-Gehältern

    yoyoyo | 14:11

  4. Re: Sind 31000 ¤ jetzt viel oder wenig?

    cry88 | 14:09

  5. Gebt mir ein N, gebt mir ein S...

    TC | 14:09


  1. 13:54

  2. 13:51

  3. 13:14

  4. 12:57

  5. 12:17

  6. 12:04

  7. 12:02

  8. 11:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel