HP bestätigt zwei Backdoor-Lecks in Storage-Produkten

Über ein Support-Passwort können die hochpreisigen Storage-Produkte StoreOnce und StoreVirtual gekapert werden.

Das StoreOnce D2D Backup und in der Produkfamilie StoreVirtual können Hacker sich über eine Schwachstelle als Root-Admin anmelden. Damit bekommt ein Angreifer vollständige Kontrolle über das Betriebssystem der Storage-Produkte. Für StoreOnce, bei dem die Versionen 2.2.17 oder älter und 1.2.17 oder älter betroffen sind, gibt es von HP mit Version 2.2.18 und 1.2.18 jeweils einen Patch. Das Leck in StoreVirtual hingegen werde HP spätestens am 17. Juli schließen. Die bereits veröffentlichen Patches sollten möglichst schnell eingespielt werden, warnt HP.

Das Problem liegt in einem Support-Feature für die beiden Produkte. Ein Support-Mitarbeiter kann bei einem Problem sich einen eigenen Zugang mit Root-Rechten für das so genannte LeftHand OS kreieren, um das Problem beim Anwender zu lösen. Nun kann ein Hacker aber offenbar diese Support-Anmeldedaten kapern und sich selbst damit anmelden.

Der Sicherheitsforscher Technion des Sicherheitsblogs lolware.net hat den Fehler öffentlich gemacht. Offenbar hatte er HP 24 Stunden zuvor über den Fehler informiert. Er Beschreibt den Fehler folgendermaßen: “Öffne deinen SSH-Client, schreibe die IP eines HP D2D-Units. Schreibe den Nutzernamen HPSupport, und das Passwort, das ein SHA1 von 78a7ecf065324604540ad3c41c3bb8fe1d084c50 hat und sage Hallo zu einem Administrativen Account, von dem du bislang noch nichts wusstest.” Immerhin 55 Leser dieses Blogs gaben an, den Hash geknackt zu haben.

HP teilt darüber hinaus mit, dass die StoreOnce-Systeme mit Version 3.0.0 oder höher nicht von dem Problem betroffen sind, weil sie diesen HPSupport-User-Account mit dem vorkonfigurierten Passwort nicht haben. Allerdings unterscheidet sich die Architektur der Version 3 fundamental von den Vorgängerversionen. Wer von einer älteren auf die aktuelle Version aktualisieren will, muss zunächst sämtliche Daten rückspeichern und dann nach dem Upgrade wieder einen restore machen. Daher könnte es für viele Anwender einfacher sein, den Patch einzuspielen.

Allerdings warnt HP auch, dass das Leck in StoreVirtual heute noch nicht behoben werden könne. Hier sind sämtliche Versionen von LeftHand OS ab 10.5 und älter betroffen. Hier kann, wenn der Kunde das gestatte, HP über den Support-Zugriff auf Betriebssystem zugreifen. Dieser vorkonfigurierte Zugriff generiert ein einmalige Passwort. Zudem könne der Supportmitarbeiter lediglich auf das Betriebssystem, nicht aber auf die gespeicherten Daten zugreifen, versichert HP in der Mitteilung.

In dem für den 17. Juli geplanten Update können Nutzer dieses Support-Funktion dann deaktivien. Dennoch werden aber Nutzer nicht umhin kommen, ihre Systeme zu aktualisieren, denn nach wie vor könnte es der Fall sein, dass HP-Mitarbeiter auf das Betriebssystem zugreifen müssen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago