Lenovo har i en intern kodegranskning funnet en bakdør i Enterprise Network Operating System (ENOS) som brukes i noen av selskapets svitsjer.
Berørt er også svitsjer i IBMs produktfamilie RackSwitch og BladeCenter.
Alvorlighetsgraden er høy da en angriper kan skaffe seg administrativ tilgang og overvåke datatrafikken som passerer gjennom utstyret.
Skal være bevisst plantet
En koderevisjon har påvist at bakdøra ble lagt inn i programvaren allerede i 2004, da ENOS var eid av teknologiselskapet Nortel.
Nortel har med viten og vilje godkjent praksisen. Mekanismen ble lagt inn etter ønske fra en av selskapets OEM-kunder og er døpt «HP Backdoor», opplyser Lenovo.
Den aktuelle virksomheten hos Nortel ble senere spunnet ut i Blade Network Technologies (BNT), som ble kjøpt opp av IBM i 2010 og deretter overtatt av Lenovo i 2014.
Lenovo sier de ikke er kjent med om bakdøra har vært utnyttet i angrep, men de antar at det finnes folk som vet om muligheten. Følgelig anbefaler de alle å oppgradere fastvaren.
Listen med berørte modeller og lenke til oppdatering er inkludert i selskapets sikkerhetsvarsel (CVE-2017-3765).
