HP: Neue Hintertüren in Server-Produkten

Der Computerhersteller HP hat zugegeben, dass auch seine StoreVirtual-Server eine undokumentierte Hintertür aufweisen. Die Sicherheitslücke birgt das Risiko, dass sich Dritte unautorisierten Zugriff auf die Speichersysteme verschaffen. Die Backdoor verschafft Nutzern direkten Zugriff aufs Allerheiligste, das den StoreVirtual-Servern zugrundeliegende LeftHand Operating System. Zuvor vermarktete HP die StoreVirtual-Systeme unter den Namen "LeftHand Storage" and "P4000 SAN". LeftHand OS war ursprünglich als SAN/iQ bekannt.

HP betont in seinem Security Advisory, dass die Hintertür zwar Root-Zugriff auf den Server selbst ermögliche, nicht aber auf die vom Server-System gesicherten Anwenderdaten. HP will Kunden bis zum 17. Juli einen Patch bereitstellen, der die Hintertür dauerhaft deaktiviert.

Ende Juni wurde eine ähnlich aufgebaute Backdoor in den Backup-Servern von HP bekannt. Wie bei den StoreOnce-Systemen handelt es sich auch diesmal um einen undokumentierten Adminstrator-Zugang. Er soll HP-Mitarbeitern in Notfällen die Möglichkeit bieten, die Systeme fernzuwarten – etwa zur Zurücksetzung des Hauptkennworts. Wie bei den StoreOnce-Servern geht die Veröffentlichung der Lücke auch diesmal auf den Sicherheitsforscher Joshua Small (online bekannt als "Technion") zurück.

Die Hintertür bei den StoreOnce-Systemen betraf nur Geräte, die noch nicht mit der aktuellen Software-Version 3.x ausgestattet waren. Diese liefert HP seit November 2012 aus. HP zufolge lassen sich alle Geräte ab der zweiten Generation auf StoreOnce 3.x aktualisieren – nur die ersten Geräte mit dem Namen "StorageWorks D2D" nicht. Eine Liste der betroffenen Systeme findet sich im offiziellen Advisory von HP.

Die Speichermethoden von StoreOnce 3.x unterscheiden sich maßgeblich vom Vorgängersystem. Upgrade-willige Administratoren müssen daher vor dem Einspielen der neuen Software alle auf dem System gespeicherten Daten sichern und danach neu einspielen. Für viele Kunden dürfte der seit dem 7. Juli bereitgestellte Patch für StoreOnce 2.x daher kurzfristig eine einfachere Lösung darstellen. Joshua Small hat diesen Patch bereits ausprobiert und bestätigt, dass das versteckte "HPSupport"-Konto dadurch tatsächlich deaktiviert wird.

Bei der StoreOnce-Sicherheitslücke war Small frustriert im Alleingang an die Öffentlichkeit gegangen. Dabei veröffentlichte er auch den Namen des Support-Kontos sowie den SHA-1-Hash des Kennworts. Hacker hatten daraus in kurzer Zeit das ursprüngliche Kennwort zurückgewonnen – es war nur sieben Zeichen lang. Vor seiner Veröffentlichung hatte Small über mehrere Wochen hinweg vergeblich versucht, HP auf die Brisanz der Sicherheitslücke hinzuweisen. Eine Reaktion des Server-Herstellers erfolgte jedoch erst nach der Veröffentlichung der Lücke.

Als Joshua Small den Hersteller auf die Hintertüren in den StoreVirtual-Servern hinwies, verhielt sich HP hingegen wesentlich offener. Aus diesem Grund ging er auch bislang nicht direkt an die Öffentlichkeit. Die Administrator-Hintertüre ist seit mindestens 2009 fester Bestandteil des Lefthand OS. Auch in diesem Fall scheint es sich um ein Konto mit festem Benutzernamen und Kennwort zu handeln. (ghi)