Storevirtual-Produkte haben eine bisher unbekannte Hintertür.
Storevirtual-Produkte haben eine bisher unbekannte Hintertür. (Bild: HP)

Storevirtual HP-Support-Konto bietet unautorisierten Zugang auf Server

Die HP-Server-Produkte der Storevirtual-Serie haben einen bisher unbekannten Zugang samt Root-Zugriff. HP nutzt diesen Zugang unter anderem, um vergessene Passwörter beim Kunden zurückzusetzen. Über einen kommenden Patch will HP die Sicherheitslücke noch in der nächsten Woche schließen.

Anzeige

In einem Security Bulletin warnt HP vor einem Sicherheitsproblem, das der Konzern für sich selbst in diverse Serverhardware eingebaut hat. Betroffen sind dabei laut HP nicht nur die eigenen Storevirtual-Systeme. HP listet auch einzelne Systeme von Dell und IBM in seinem Security Bulletin.

Mit dem HP-Support-Konto bekommt der Angreifer Zugriff auf das Lefthand-OS ab Version 10.5 inklusive Root-Zugang. So tief kommen nicht einmal die Besitzer der Geräte heran. Sie haben nur einen begrenzten Zugang auf das Betriebssystem über ein HP CLI (Command Line Interface), das für das Storevirtual-System geschaffen wurde. Zudem wissen die Gerätebesitzer nichts von dem Zugang, da er bisher nicht dokumentiert wurde.

Den Root-Zugriff braucht HP laut eigener Darstellung für die Produktunterstützung. HP nutzt dafür im Haus ein Passwortwerkzeug, das einmalige Passwörter für den Support erzeugt. Mit dem Root-Zugang kommt HP zwar nicht an die Daten heran, wohl aber an kritische Bereiche für die Steuerung des Systems.

So einmalig sind die Passwörter laut einem Bericht von The Register anscheinend nicht. Seitdem die Umstände bekanntwurden, sollen der Nutzername des Kontos und auch das Passwort bereits im Umlauf sein. The Register beklagt zudem den extrem einfachen Aufbau des Passworts. Selbst Webseiten haben höhere Passwortanforderungen als HP bei seinen Speichersystemen. HP verzichtet für das Supportkonto mit Rootzugang auf Ziffern, Symbole und große Buchstaben, so der Bericht. Mit dem einfachen Passwort soll zudem ein Factory-Reset möglich sein, womit auch alle Daten gelöscht werden.

Auf Hinweise der Sicherheitslücke ist zuvor der Blogger Technion gestoßen, wie The Register berichtete. In Supportforen wurden Nutzer der Speichersysteme, die ihr Passwort vergessen haben, an den HP-Support verwiesen, der Passwörter auf den Geräten zurücksetzen kann. Eine ähnliche Sicherheitslücke hatte Technion erst vor wenigen Wochen in Storeonce-Produkten von HP entdeckt. Wobei auch hier keine Sicherheitslücke im klassischen Sinn vorhanden war. Ein Angreifer musste keine Anwendung zum Absturz bringen und dann Code ausführen, sondern auch hier nur das HP-Support-Konto samt dem Passwort kennen, das ohne Wissen der Gerätebesitzer auf diesen Systemen hinterlegt war.

HP verspricht, das Problem mit den geheimen Zugängen bei den Storevirtual-Produkten bis spätestens 17. Juli 2013 zu beseitigen. Bis dahin müssen Administratoren andere Wege finden, um ihre Systeme vor unautorisiertem Zugriff zu schützen.


iRofl 14. Jul 2013

HP eben. Was hast du erwartet? Dass die etwas besser sind als IBM? :D Hah, geil. Nur...

anybody 13. Jul 2013

Sind halt auch etwas professioneller als die Stümper bei HP. Der authorized key dürfte...

HerrMannelig 13. Jul 2013

und gar nicht für NSA, nein ^^

IT-Philosoph 13. Jul 2013

Der NSA könnte es nützen.

Kommentieren



Anzeige

  1. Testingenieur/in Software und Systeme
    MOBIL ELEKTRONIK GMBH, Langenbrettach
  2. SW-Entwickler (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Projekt Manager (IT Projekte) (m/w)
    redcoon GmbH, München
  4. Softwareentwickler (m/w)
    H&S LaborSoftware GmbH, Rüsselsheim

 

Detailsuche


Hardware-Angebote
  1. Angebote der Woche bei Notebooksbilliger
    (u. a. Samsung Galaxy Tab 4 für 239,90€, Bosch IXO IV für 39,90€)
  2. Medion Erazer X7835 PCGH-Notebook mit Geforce GTX 980M und Core i7-4710MQ
    1999,00€
  3. PCGH-Professional-PC GTX970-Edition
    (Core i7-4790K + Geforce GTX 970)

 

Weitere Angebote


Folgen Sie uns
       


  1. ODST

    Gratis-Kampagne für Halo Collection wegen Bugs

  2. Medienbericht

    Axel Springer will T-Online.de übernehmen

  3. Directory Authorities

    Tor-Projekt befürchtet baldigen Angriff auf seine Systeme

  4. Zeitserver

    Sicherheitslücken in NTP

  5. Core M-5Y10 im Test

    Kleiner Core M fast wie ein Großer

  6. Guardians of Peace

    Sony-Hack wird zum Politikum

  7. Urheberrecht

    Flickr Wall Art nutzt keine CC-Bilder mehr

  8. Rohrpostzug

    Hyperloop entsteht nach Feierabend

  9. IT-Bereich

    China will ausländische Technik durch eigene ersetzen

  10. Chaton

    Samsung schaltet seinen Messenger ab



Haben wir etwas übersehen?

E-Mail an news@golem.de



1.200-MBit-Powerline im Test: "Schatz, mach das Licht aus, das Netz ist so langsam!"
1.200-MBit-Powerline im Test
"Schatz, mach das Licht aus, das Netz ist so langsam!"

Games-Verfilmungen: Videospiele erobern Hollywood
Games-Verfilmungen
Videospiele erobern Hollywood
  1. Entwicklerpreis Summit 2014 Wiederspielbarkeit Reloaded
  2. Adr1ft Mit Oculus Rift und UE4 ins All
  3. The Game Awards 2014 Dragon Age ist bestes Spiel, Miyamoto zeigt neues Zelda

O2 Car Connection im Test: Der Spion unterm Lenkrad
O2 Car Connection im Test
Der Spion unterm Lenkrad
  1. Urteil Finger weg vom Handy beim Autofahren
  2. Urban Windshield Jaguar bringt Videospiel-Feeling ins Auto
  3. Tweak Carplay ohne passendes Auto verwenden

    •  / 
    Zum Artikel