La SAN di HP ha una backdoor segreta

Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto". HP conferma e rassicura: abbiamo già preparato una patch
Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto". HP conferma e rassicura: abbiamo già preparato una patch

Le backdoor “non ufficiali” sono una costante delle tecnologie proprietarie o a codice aperto, e non bastasse l’allarme recentemente lanciato da Gregory Perry sulle porte di accesso segrete in OpenBSD a opera dell’FBI, arriva ora una nuova segnalazione sulle unità SAN (Storage Area Network) di HP. Una di queste unità contiene un super-account non documentato , potenzialmente in grado di garantire a utenti non autorizzati l’accesso completo al sistema.

A essere interessata dal problema è in particolare l’unità SAN P2000 G3 MSA , che nei meandri del codice del firmware contiene l’account “admin” con password “!admin”. L’account non viene citato in alcun modo nella documentazione del prodotto, non è accessibile dall’interfaccia grafica di gestione e può apportare modifiche normalmente precluse all’utente/amministratore.

Un ulteriore rapporto conferma la possibilità di cambiare la password “!admin” per il super-account usando l’interfaccia a riga di comando. Avendo a disposizione una backdoor come questa, un malintenzionato potrebbe facilmente accedere all’unità SAN mettendo a rischio l’integrità e la riservatezza dei dati in essa contenuti.

La backdoor è reale e anche HP conferma la sua esistenza, anche se parla solo di un potenziale rischio di sicurezza e non avalla l’ipotesi secondo la quale il super-account sarebbe stato inserito nell’unità SAN a fini di supporto esterno.

Sia come sia la frittata oramai è fatta, e per tentare di correre ai ripari il colosso statunitense rassicura la clientela sul fatto che la “falla” riguardi solo P2000 G3 MSA e nessun’altro prodotto della linea MSA. HP sta inoltre provvedendo a informare i possessori di sistemi P2000 G3 sull’esistenza del problema e la disponibilità di un fix.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

20 12 2010
Link copiato negli appunti