HP bestätigt zwei Backdoor-Lecks in Storage-Produkten

Martin Schindler,
StoreOnce D2D, StoreVirtual

Über bislang undokumentierte Lecks in StoreOnce und StoreVirtual können Hacker Root-Zugriff auf die Storage-Produktfamilen von HP bekommen, wie ein Sicherheitsforscher jetzt mitteilt.

Über ein Support-Passwort können die hochpreisigen Storage-Produkte StoreOnce und StoreVirtual gekapert werden.
Über ein Support-Passwort können die hochpreisigen Storage-Produkte StoreOnce und StoreVirtual gekapert werden.

Das StoreOnce D2D Backup und in der Produkfamilie StoreVirtual können Hacker sich über eine Schwachstelle als Root-Admin anmelden. Damit bekommt ein Angreifer vollständige Kontrolle über das Betriebssystem der Storage-Produkte. Für StoreOnce, bei dem die Versionen 2.2.17 oder älter und 1.2.17 oder älter betroffen sind, gibt es von HP mit Version 2.2.18 und 1.2.18 jeweils einen Patch. Das Leck in StoreVirtual hingegen werde HP spätestens am 17. Juli schließen. Die bereits veröffentlichen Patches sollten möglichst schnell eingespielt werden, warnt HP.

Das Problem liegt in einem Support-Feature für die beiden Produkte. Ein Support-Mitarbeiter kann bei einem Problem sich einen eigenen Zugang mit Root-Rechten für das so genannte LeftHand OS kreieren, um das Problem beim Anwender zu lösen. Nun kann ein Hacker aber offenbar diese Support-Anmeldedaten kapern und sich selbst damit anmelden.

Der Sicherheitsforscher Technion des Sicherheitsblogs lolware.net hat den Fehler öffentlich gemacht. Offenbar hatte er HP 24 Stunden zuvor über den Fehler informiert. Er Beschreibt den Fehler folgendermaßen: “Öffne deinen SSH-Client, schreibe die IP eines HP D2D-Units. Schreibe den Nutzernamen HPSupport, und das Passwort, das ein SHA1 von 78a7ecf065324604540ad3c41c3bb8fe1d084c50 hat und sage Hallo zu einem Administrativen Account, von dem du bislang noch nichts wusstest.” Immerhin 55 Leser dieses Blogs gaben an, den Hash geknackt zu haben.

HP teilt darüber hinaus mit, dass die StoreOnce-Systeme mit Version 3.0.0 oder höher nicht von dem Problem betroffen sind, weil sie diesen HPSupport-User-Account mit dem vorkonfigurierten Passwort nicht haben. Allerdings unterscheidet sich die Architektur der Version 3 fundamental von den Vorgängerversionen. Wer von einer älteren auf die aktuelle Version aktualisieren will, muss zunächst sämtliche Daten rückspeichern und dann nach dem Upgrade wieder einen restore machen. Daher könnte es für viele Anwender einfacher sein, den Patch einzuspielen.

Allerdings warnt HP auch, dass das Leck in StoreVirtual heute noch nicht behoben werden könne. Hier sind sämtliche Versionen von LeftHand OS ab 10.5 und älter betroffen. Hier kann, wenn der Kunde das gestatte, HP über den Support-Zugriff auf Betriebssystem zugreifen. Dieser vorkonfigurierte Zugriff generiert ein einmalige Passwort. Zudem könne der Supportmitarbeiter lediglich auf das Betriebssystem, nicht aber auf die gespeicherten Daten zugreifen, versichert HP in der Mitteilung.

In dem für den 17. Juli geplanten Update können Nutzer dieses Support-Funktion dann deaktivien. Dennoch werden aber Nutzer nicht umhin kommen, ihre Systeme zu aktualisieren, denn nach wie vor könnte es der Fall sein, dass HP-Mitarbeiter auf das Betriebssystem zugreifen müssen.