Software Patch angekündigt

Sicherheitslücke in HP StoreOnce Backup

Der Datenrettungs-Spezialist Kuert warnt vor einer eklatanten Sicherheitslücke in den Backup-Produkten StoreOnce von Hewlett Packard. HP kündigte für den 7. Juli einen Software Patch an, der das Problem beheben soll.

Hintergrund ist eine in der Firmware integrierte Hintertür für den HP-Support, ein eigenständiger Account, der für den jeweiligen Administrator des Gerätes unsichtbar ist. Der Benutzername "HPSupport" und auch das via SHA1 verschlüsselte Passwort sind hierbei bereits in einschlägigen Foren dokumentiert worden. Äußere Angriffe auf ein HP StoreOnce Backup System lassen sich somit direkt über die jeweilige Geräte-IP realisieren.


HP hat für den 7.Juli 2013 einen entsprechenden Software-Patch angekündigt und empfiehlt allen Nutzern oben aufgeführter und betroffener Geräte diesen entsprechenden Patch auf die Geräte aufzuspielen, dieser entfernt das Nutzerkonto für den HP-Support

Mit einem Software Patch am 7. Juli will HP die Sicherheitslücke in StoreOnce schließen.
Mit einem Software Patch am 7. Juli will HP die Sicherheitslücke in StoreOnce schließen.
Foto:

"Administratoren die sich mittels eines SSH-Clients mit der Geräte-IP verbinden, den Nutzernamen "HPSupport" und ein spezielles - mit SHA1-Hash verschlüsseltes - siebenstelliges Passwort eingeben, erhalten Zugriff auf einen Benutzer-Account, von dem sie nie wussten, dass dieser existiert. Zwar verfügt dieser versteckte "HPSupport-Account" nicht über Lese- oder Zugriffsrechte auf gespeicherte Daten, jedoch kann ein potentieller Angreifer das HP StoreOnce Backup System auf den Auslieferungszustand und die Werkseinstellung zurücksetzen und somit alle Daten löschen die sich auf der Maschine befinden", erklärt Martin Eschenberg von der Kuert Datenrettung Deutschland GmbH.

Seitens des US-Supports von HP wurde die Sicherheitslücke bereits bestätigt. Sie betrifft folgende HP StoreOnce Backup Systeme mit einer Software-Version 2.2.17 und 1.2.17:

  • HP StoreOnce D2D4324 Backup System (EH985A)

  • HP StoreOnce D2D4312 Backup System (EH983B)

  • HP StoreOnce D2D4312 Backup System (EH983A)

  • HP StoreOnce D2D4112 Backup System (EH993C)

  • HP StoreOnce D2D4112 Backup System (EH993B)

  • HP StoreOnce D2D4106i Backup System (EH996B)

  • HP StoreOnce D2D4106i Backup System (EH996A)

  • HP StoreOnce D2D4106fc Backup System (EH998B)

  • HP StoreOnce D2D4106fc Backup System (EH998A)

  • HP StoreOnce D2D2504i Backup System (EJ002C)

  • HP StoreOnce D2D2504i Backup System (EJ002B)

  • HP StoreOnce D2D2502i Backup System (EJ001C)

  • HP StoreOnce D2D2502i Backup System (EJ001B)

  • HP D2D4112 Backup System (EH993A)

  • HP D2D4009fc Backup System (EH942A)

  • HP D2D4009i Backup System (EH939A)

  • HP D2D4004fc Backup System (EH941A)

  • HP D2D4004i Backup System (EH938A)

  • HP D2D2504i Backup System (EJ002A)

  • HP D2D2503i Backup System (EH945A)

  • HP D2D2502i Backup System (EJ001A)

(ChannelPartner/cvi)