En hemmelig konto for adgang til HPs lagringsbokser er avslørt. Passordet skal dessuten ha en skrøpelig kryptering som er lett å knekke.

Hemmelig bakdør i HP-bokser

HP Norge bekrefter at «feilfiks» er på vei.

Ifølge en anonym sikkerhetsforsker som kaller seg «Technion» finnes det hemmelige bakdører i lagringsløsninger fra Hewlett-Packard.

Her redegjør han for avsløringene, inkludert kritikk av selskapet.

Passord på avveie

Mange dedupliserende backup-løsninger i seriene StoreOnce (D2D) og StoreVirtual er berørt. Dette inkluderer blant annet SAN-produkter med operativsystemet LeftHand, en spesiell arkitektur rettet mot virtuelle miljøer, som HP kjøpte opp i 2008.

Problemet blir forklart slik:

Vår offisielle uttalelse er at vi tar sikkerhet veldig alvorlig Boksene er utstyrt med en udokumentert SSH-konto for fjernadministrasjon med brukernavnet «HPSupport». Kontoen har et syvsifret passord med svak kryptering. Hashverdien er publisert. Det allerede knekte passordet sirkulerer nå på internett.

«Potensiell risiko»

Hewlett-Packard er vage i sin hittil sparsomme omtale av forholdet. Det som fremstår som et opplagt sikkerhetsproblem kaller de sårbarheter med «potensiell risiko».

De har reagert med å utstede to ulike sikkerhetsadvarsler, en for StoreOnce-familien og en annen for StoreVirtual.

I disse erkjenner de en fare for uautorisert fjernadministrasjon – inkludert manipulering av filer. Følg lenkene for en uttømmende oversikt over hvilke modeller som er berørt.

StoreVirtual-boksene er berørt dersom programvaren LeftHand OS (SAN iQ) er i versjon 10.5 eller eldre. StoreOnce er berørt hvis systemet har eller programvareversjon enn 3.0.0, ifølge meldingene.

Merk: Tidligere i uken ble det utgitt en sikkerhetsfiks til StoreOnce, mens det i skrivende stund mangler en løsning for StoreVirtual.

HP i Norge er i likhet med selskapet sentralt svært forsiktige i sine kommentarer om de nå avslørte bakdørene, og vil strengt tatt ikke bruke det begrepet.

– Vår offisielle uttalelse er at vi tar sikkerhet veldig alvorlig. Vi er kjent med den potensielle risikoen og jobber med å løse det, sier Espen Lillejord til digi.no.

Lillejord leder selskapets lagringsavdeling. Han bekrefter at det er de to nevnte produktgruppene som er berørt.

– Det vil foreligge en feilfiks for StoreVirtual senest den 17. juli, forteller han.

Begge produktseriene er solgt til norske kunder, medgir Lillejord, men vil verken bekrefte eller avkrefte opplysningene om bakdører.

Hvorvidt HP sentralt har informert de norske kundene direkte om sikkerhetsproblemene, er uvisst. Basert på avsløringene virker det trolig at selskapets supportavdeling kan gå inn på kunders utstyr, kontonavnet «HPSupport» antyder jo det, men digi.no har ikke fått dette bekreftet.

Lillejord ønsket etter intervjuet å komme med en presisering:

– Angående hvordan vi informerer våre kunder så håndteres det fra HP corporate i samråd med HP labs. Relevant informasjon legges også ut på HP security bulletin. Lokalt veileder og støtter vi relevante kunder etter behov. HP tar sikkerheten på våre produkter meget seriøst og jobber fortløpende med å utrette eventuelle feil på systemene til våre kunder.

(Kilder: SecurityWeek, Seclists.org, The Register)

Til toppen