La SAN di HP ha una backdoor segreta

Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto". HP conferma e rassicura: abbiamo già preparato una patch

Roma – Le backdoor “non ufficiali” sono una costante delle tecnologie proprietarie o a codice aperto, e non bastasse l’allarme recentemente lanciato da Gregory Perry sulle porte di accesso segrete in OpenBSD a opera dell’FBI, arriva ora una nuova segnalazione sulle unità SAN (Storage Area Network) di HP. Una di queste unità contiene un super-account non documentato , potenzialmente in grado di garantire a utenti non autorizzati l’accesso completo al sistema.

A essere interessata dal problema è in particolare l’unità SAN P2000 G3 MSA , che nei meandri del codice del firmware contiene l’account “admin” con password “!admin”. L’account non viene citato in alcun modo nella documentazione del prodotto, non è accessibile dall’interfaccia grafica di gestione e può apportare modifiche normalmente precluse all’utente/amministratore.

Un ulteriore rapporto conferma la possibilità di cambiare la password “!admin” per il super-account usando l’interfaccia a riga di comando. Avendo a disposizione una backdoor come questa, un malintenzionato potrebbe facilmente accedere all’unità SAN mettendo a rischio l’integrità e la riservatezza dei dati in essa contenuti.

La backdoor è reale e anche HP conferma la sua esistenza, anche se parla solo di un potenziale rischio di sicurezza e non avalla l’ipotesi secondo la quale il super-account sarebbe stato inserito nell’unità SAN a fini di supporto esterno.

Sia come sia la frittata oramai è fatta, e per tentare di correre ai ripari il colosso statunitense rassicura la clientela sul fatto che la “falla” riguardi solo P2000 G3 MSA e nessun’altro prodotto della linea MSA. HP sta inoltre provvedendo a informare i possessori di sistemi P2000 G3 sull’esistenza del problema e la disponibilità di un fix.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Mino scrive:
    Spero in più concorrenza
    Oracle per i database e non solo è ottima nulla da dire.. ma è troppo monopolista e chiusa come azienda, ancora di più da quando ha comprato sun e le sue tecnologie (java, solaris, server sunsparc, virtualbox e potere decisionale sul progetto mysql ecc. per dirne solo alcuni)e si sente "Dio" o poco ci manca.. spero che i concorrenti (specie Ibm con db2, i server ecc) non li lascino il mercato libero!!
Chiudi i commenti