Abo
  • Services:
Anzeige
Storevirtual-Produkte haben eine bisher unbekannte Hintertür.
Storevirtual-Produkte haben eine bisher unbekannte Hintertür. (Bild: HP)

Storevirtual HP-Support-Konto bietet unautorisierten Zugang auf Server

Die HP-Server-Produkte der Storevirtual-Serie haben einen bisher unbekannten Zugang samt Root-Zugriff. HP nutzt diesen Zugang unter anderem, um vergessene Passwörter beim Kunden zurückzusetzen. Über einen kommenden Patch will HP die Sicherheitslücke noch in der nächsten Woche schließen.

Anzeige

In einem Security Bulletin warnt HP vor einem Sicherheitsproblem, das der Konzern für sich selbst in diverse Serverhardware eingebaut hat. Betroffen sind dabei laut HP nicht nur die eigenen Storevirtual-Systeme. HP listet auch einzelne Systeme von Dell und IBM in seinem Security Bulletin.

Mit dem HP-Support-Konto bekommt der Angreifer Zugriff auf das Lefthand-OS ab Version 10.5 inklusive Root-Zugang. So tief kommen nicht einmal die Besitzer der Geräte heran. Sie haben nur einen begrenzten Zugang auf das Betriebssystem über ein HP CLI (Command Line Interface), das für das Storevirtual-System geschaffen wurde. Zudem wissen die Gerätebesitzer nichts von dem Zugang, da er bisher nicht dokumentiert wurde.

Den Root-Zugriff braucht HP laut eigener Darstellung für die Produktunterstützung. HP nutzt dafür im Haus ein Passwortwerkzeug, das einmalige Passwörter für den Support erzeugt. Mit dem Root-Zugang kommt HP zwar nicht an die Daten heran, wohl aber an kritische Bereiche für die Steuerung des Systems.

So einmalig sind die Passwörter laut einem Bericht von The Register anscheinend nicht. Seitdem die Umstände bekanntwurden, sollen der Nutzername des Kontos und auch das Passwort bereits im Umlauf sein. The Register beklagt zudem den extrem einfachen Aufbau des Passworts. Selbst Webseiten haben höhere Passwortanforderungen als HP bei seinen Speichersystemen. HP verzichtet für das Supportkonto mit Rootzugang auf Ziffern, Symbole und große Buchstaben, so der Bericht. Mit dem einfachen Passwort soll zudem ein Factory-Reset möglich sein, womit auch alle Daten gelöscht werden.

Auf Hinweise der Sicherheitslücke ist zuvor der Blogger Technion gestoßen, wie The Register berichtete. In Supportforen wurden Nutzer der Speichersysteme, die ihr Passwort vergessen haben, an den HP-Support verwiesen, der Passwörter auf den Geräten zurücksetzen kann. Eine ähnliche Sicherheitslücke hatte Technion erst vor wenigen Wochen in Storeonce-Produkten von HP entdeckt. Wobei auch hier keine Sicherheitslücke im klassischen Sinn vorhanden war. Ein Angreifer musste keine Anwendung zum Absturz bringen und dann Code ausführen, sondern auch hier nur das HP-Support-Konto samt dem Passwort kennen, das ohne Wissen der Gerätebesitzer auf diesen Systemen hinterlegt war.

HP verspricht, das Problem mit den geheimen Zugängen bei den Storevirtual-Produkten bis spätestens 17. Juli 2013 zu beseitigen. Bis dahin müssen Administratoren andere Wege finden, um ihre Systeme vor unautorisiertem Zugriff zu schützen.


eye home zur Startseite
iRofl 14. Jul 2013

HP eben. Was hast du erwartet? Dass die etwas besser sind als IBM? :D Hah, geil. Nur...

anybody 13. Jul 2013

Sind halt auch etwas professioneller als die Stümper bei HP. Der authorized key dürfte...

HerrMannelig 13. Jul 2013

und gar nicht für NSA, nein ^^

IT-Philosoph 13. Jul 2013

Der NSA könnte es nützen.



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München, Darmstadt, Bonn, Leinfelden-Echterdingen
  2. über KÖNIGSTEINER AGENTUR GmbH, Karlsruhe
  3. Robert Bosch GmbH, Crailsheim
  4. T-Systems International GmbH, Darmstadt


Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 23,94€ (Vorbesteller-Preisgarantie)
  3. (u. a. Homefront 7,97€, The Wave 6,97€, Lone Survivor 6,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Tipps für IT-Engagement in Fernost
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Was? Kann doch gar nicht sein.

    Ovaron | 13:59

  2. Re: Windows 10 lässt Windows 10 abstürzen

    FreiGeistler | 13:57

  3. Re: Gibt es einen Lagerarbeitsplatz, wo es einem...

    beercules | 13:55

  4. Re: IMHO: FTTH ist auch ziemlicher overkill

    Ovaron | 13:54

  5. Re: Desktop-Android - Clickbait at it's best!

    FreiGeistler | 13:49


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel