La SAN di HP ha una backdoor segreta

La SAN di HP ha una backdoor segreta

Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto". HP conferma e rassicura: abbiamo già preparato una patch
Un'unità di storage messa in vendita dal colosso statunitense contiene un account amministratore "segreto". HP conferma e rassicura: abbiamo già preparato una patch

Le backdoor “non ufficiali” sono una costante delle tecnologie proprietarie o a codice aperto, e non bastasse l'allarme recentemente lanciato da Gregory Perry sulle porte di accesso segrete in OpenBSD a opera dell'FBI, arriva ora una nuova segnalazione sulle unità SAN (Storage Area Network) di HP. Una di queste unità contiene un super-account non documentato , potenzialmente in grado di garantire a utenti non autorizzati l'accesso completo al sistema.

A essere interessata dal problema è in particolare l'unità SAN P2000 G3 MSA , che nei meandri del codice del firmware contiene l'account “admin” con password “!admin”. L'account non viene citato in alcun modo nella documentazione del prodotto, non è accessibile dall'interfaccia grafica di gestione e può apportare modifiche normalmente precluse all'utente/amministratore.

Un ulteriore rapporto conferma la possibilità di cambiare la password “!admin” per il super-account usando l'interfaccia a riga di comando. Avendo a disposizione una backdoor come questa, un malintenzionato potrebbe facilmente accedere all'unità SAN mettendo a rischio l'integrità e la riservatezza dei dati in essa contenuti.

La backdoor è reale e anche HP conferma la sua esistenza, anche se parla solo di un potenziale rischio di sicurezza e non avalla l'ipotesi secondo la quale il super-account sarebbe stato inserito nell'unità SAN a fini di supporto esterno.

Sia come sia la frittata oramai è fatta, e per tentare di correre ai ripari il colosso statunitense rassicura la clientela sul fatto che la “falla” riguardi solo P2000 G3 MSA e nessun'altro prodotto della linea MSA. HP sta inoltre provvedendo a informare i possessori di sistemi P2000 G3 sull'esistenza del problema e la disponibilità di un fix.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

20 12 2010
Link copiato negli appunti