Patch beseitigt Backdoor-Passwort bei USV
APC, Hersteller von unterbrechungsfreien Stromversorgungen (USVs), hat einen Patch veröffentlicht, um ein fest einprogrammiertes Passwort aus den Netzwerk-Management-Karten zu entfernen.
APC, Hersteller von unterbrechungsfreien Stromversorgungen (USVs), hat einen Patch veröffentlicht, um ein fest einprogrammiertes Passwort ("TENmanUFactOryPOWER ") aus den optional erhältlichen Netzwerk-Management-Karte zu entfernen. Dem vorangegangen war die Veröffentlichung eines Security Advisory auf Bugtraq, in dem auf das Backdoor-Passwort hingewiesen wurde, mit dem der unautorisierte Zugriff auf das Management möglich ist. Allerdings kann ein Anwender sich mit diesem Passwort nur über Telnet oder die serielle Konsole an der USV anmelden. Eine Authentifizierung gegenüber dem Webmanagement ist mit diesem Passwort nicht möglich, auch das Management mittels SNMP bleibt davon unberührt.
Auch wenn Telnet nur noch selten zur Administration eingesetzt wird, kann es doch aktiviert sein und bietet dann immerhin in Unternehmensnetzen einen Angriffspunkt. Der Hersteller hat in dem Advisory zum Patch eine Liste betroffener Management-Karten aufgeführt. Alternativ schlägt APC vor, Telnet zu deaktivieren. Einer Meldung zufolge soll dies aber nicht immer zuverlässig funktionieren.
Siehe dazu auch: (dab)
- Security Advisory von Bugtraq
- Security Advisory von APC
