HP признали, что их серверы StoreVirtual могут содержать недокументированные бэкдоры. Уязвимость может стать причиной несанкционированного доступа в системы хранения. Бэкдор предоставляет пользователям возможность прямого доступа в святую святых, «LeftHand» (операционная система на сервере StoreVirtual). HP ранее уже продавали на рынке свои системы StoreVirtual как хранилище LeftHand (LeftHand Storage) и P4000 SAN. Операционная система LeftHand изначально имела название SAN/iQ.
В центре поддержки HP подчеркивают, что, хоть бэкдоры и предоставляют полный доступ к серверу, они не предоставляют доступ к данным пользователя. К 17 июля HP планируют выпустить «заплатку», которая бы убрала бэкдор.
Наличие схожего бэкдора в резервных серверах HP было обнаружено в конце июня. Как и в случае с системами компании StoreOnce, это дело связано с недокументированным доступом администраторов. В экстренном случае — например, при необходимости сбросить главный пароль — это давало персоналу HP возможность предложить пользователям удалённую помощь. Как и у StoreOnce, обнаружение уязвимости снова было совершено исследователем безопасности Джошуа Смоллом, известным под псевдонимом Technion.
Бэкдор в системах StoreOnce повлиял только на те устройства, программное обеспечение которых не было обновлено до версии 3 (выпущена в ноябре 2012). По словам HP, всё второе поколение устройств StoreOnce может быть обновлено до StoreOnce третьего поколения, и только ранние устройства StorageWorks D2D неспособны работать на этом программном обеспечении. Список подверженных систем можно найти на официальном центре поддержки HP.
Методы хранения, использованные в StoreOnce 3.x, в корне отличаются от тех, что были использованы в предыдущих версиях. Поэтому перед установкой нового программного обеспечения администраторы, желающие обновиться, должны будут создать резервные копии всех данных, а потом восстановить их после установки. Поэтому для многих клиентов заплатка для StoreOnce 2.x, выпущенная 7 июля, может стать более простым кратковременным решением. Джошуа Смоллс протестировал эту заплатку и подтверждает, что она на самом деле дезактивирует скрытый аккаунт HPSupport.
Read more: Habrahabr.ru
QR: 