Storevirtual: HP-Support-Konto bietet unautorisierten Zugang auf Server
Storevirtual-Produkte haben eine bisher unbekannte Hintertür. (Bild: HP)

Storevirtual HP-Support-Konto bietet unautorisierten Zugang auf Server

Die HP-Server-Produkte der Storevirtual-Serie haben einen bisher unbekannten Zugang samt Root-Zugriff. HP nutzt diesen Zugang unter anderem, um vergessene Passwörter beim Kunden zurückzusetzen. Über einen kommenden Patch will HP die Sicherheitslücke noch in der nächsten Woche schließen.

Anzeige

In einem Security Bulletin warnt HP vor einem Sicherheitsproblem, das der Konzern für sich selbst in diverse Serverhardware eingebaut hat. Betroffen sind dabei laut HP nicht nur die eigenen Storevirtual-Systeme. HP listet auch einzelne Systeme von Dell und IBM in seinem Security Bulletin.

Mit dem HP-Support-Konto bekommt der Angreifer Zugriff auf das Lefthand-OS ab Version 10.5 inklusive Root-Zugang. So tief kommen nicht einmal die Besitzer der Geräte heran. Sie haben nur einen begrenzten Zugang auf das Betriebssystem über ein HP CLI (Command Line Interface), das für das Storevirtual-System geschaffen wurde. Zudem wissen die Gerätebesitzer nichts von dem Zugang, da er bisher nicht dokumentiert wurde.

Den Root-Zugriff braucht HP laut eigener Darstellung für die Produktunterstützung. HP nutzt dafür im Haus ein Passwortwerkzeug, das einmalige Passwörter für den Support erzeugt. Mit dem Root-Zugang kommt HP zwar nicht an die Daten heran, wohl aber an kritische Bereiche für die Steuerung des Systems.

So einmalig sind die Passwörter laut einem Bericht von The Register anscheinend nicht. Seitdem die Umstände bekanntwurden, sollen der Nutzername des Kontos und auch das Passwort bereits im Umlauf sein. The Register beklagt zudem den extrem einfachen Aufbau des Passworts. Selbst Webseiten haben höhere Passwortanforderungen als HP bei seinen Speichersystemen. HP verzichtet für das Supportkonto mit Rootzugang auf Ziffern, Symbole und große Buchstaben, so der Bericht. Mit dem einfachen Passwort soll zudem ein Factory-Reset möglich sein, womit auch alle Daten gelöscht werden.

Auf Hinweise der Sicherheitslücke ist zuvor der Blogger Technion gestoßen, wie The Register berichtete. In Supportforen wurden Nutzer der Speichersysteme, die ihr Passwort vergessen haben, an den HP-Support verwiesen, der Passwörter auf den Geräten zurücksetzen kann. Eine ähnliche Sicherheitslücke hatte Technion erst vor wenigen Wochen in Storeonce-Produkten von HP entdeckt. Wobei auch hier keine Sicherheitslücke im klassischen Sinn vorhanden war. Ein Angreifer musste keine Anwendung zum Absturz bringen und dann Code ausführen, sondern auch hier nur das HP-Support-Konto samt dem Passwort kennen, das ohne Wissen der Gerätebesitzer auf diesen Systemen hinterlegt war.

HP verspricht, das Problem mit den geheimen Zugängen bei den Storevirtual-Produkten bis spätestens 17. Juli 2013 zu beseitigen. Bis dahin müssen Administratoren andere Wege finden, um ihre Systeme vor unautorisiertem Zugriff zu schützen.


iRofl 14. Jul 2013

HP eben. Was hast du erwartet? Dass die etwas besser sind als IBM? :D Hah, geil. Nur...

anybody 13. Jul 2013

Sind halt auch etwas professioneller als die Stümper bei HP. Der authorized key dürfte...

HerrMannelig 13. Jul 2013

und gar nicht für NSA, nein ^^

IT-Philosoph 13. Jul 2013

Der NSA könnte es nützen.

Kommentieren



Anzeige

  1. Anwendungsentwickler (m/w) ERP / SQL
    Controlware GmbH, Dietzenbach
  2. Datenbank-Administrator (m/w) - Schwerpunkt Oracle
    ISD - Industrie Service für Datenverarbeitung GmbH, Ludwigshafen
  3. IT-Systemanalytiker (m/w)
    Schuberth Group, Magdeburg
  4. Informatiker mit Schwerpunkt Systemadministration (m/w)
    Zentralinstitut für Seelische Gesundheit, Mannheim

 

Detailsuche


Folgen Sie uns
       


  1. Quartalsbericht

    Apple mit Gewinnzuwachs, iPad-Verkauf erneut rückläufig

  2. Quartalsbericht

    Microsoft macht 700 Millionen US-Dollar Verlust mit Nokia

  3. Mayday

    Kindle-Besitzer können auf Knopfdruck Hilfe rufen

  4. Lufthansa Taxibot

    Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn

  5. Geheimdienste

    USA und Deutschland wollen Leitlinien vereinbaren

  6. Geheimdienste

    DE-CIX bei manipulierter Hardware machtlos gegen Spionage

  7. Digitale Agenda

    Bund will finanzielle Breitbandförderung festschreiben

  8. DVB-T2

    HDTV sollte unverschlüsselt über Antenne kommen

  9. Wissenschaft

    Hören wie die Fliegen

  10. iWatch

    Apples Smartwatch könnte aus zwei Teilen bestehen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

Android L im Test: Google verflacht Android
Android L im Test
Google verflacht Android
  1. Android L Keine Updates für Entwicklervorschau geplant
  2. Inoffizieller Port Android L ist für das Nexus 4 verfügbar
  3. Android L Cyanogenmod entwickelt nicht anhand der Entwicklervorschau

    •  / 
    Zum Artikel