Backdoor in Backup-Servern von HP

Einer Analyse des Sicherheitsforschers Technion zufolge reicht ein SSH-Zugang aus, um aus der Ferne die Kontrolle über Backup-Systeme vom Typ StoreOnce des Herstellers HP zu erlangen. Gibt man als Benutzername "HPSupport" ein sowie ein vordefiniertes Kennwort, öffnet das System ein undokumentiertes Administrator-Konto.

Die Backup-Systeme vom Typ "StoreOnce" sind kein billiges Eisen: Die Ausführung mit zwölf 1-TB-Platten (davon nutzbar: 6 TByte) kostet über 12.000 Euro. Der Aufpreis gegenüber einem normalen Server dieser Größenordnung erklärt sich durch die eingesetzte Software, StoreOnce Catalyst. Deren Deduplizierungsfunktion verringert den Umfang der Datensicherungen HP zufolge um bis zu 95 Prozent.

Im Zuge seiner Veröffentlichung der Lücke beklagt Technion, HP habe ihn über drei Wochen lang hingehalten, statt sich um die Sicherheitslücke zu kümmern. Angesichts des Umstandes, dass HP den Schwachstellen-Broker "Zero Day Initiative" betreibe, sei dieses Verhalten unerträglich. Die ZDI räumt Herstellern allerdings 60 Tage ein, um Lücken zu beseitigen.

Besonders pikant macht die Sache, dass Technion den SHA1-Hash-Wert des Kennworts veröffentlichte, das den Zugriff zum versteckten Administratorkonto ermöglicht. Anhand eines solchen Hash-Werts lässt sich per Brute-Force das tatsächliche Kennwort herausfinden. Es dauerte auch nicht lange, bis die entschlüsselte Zeichenfolge in den üblichen Kanälen kursierte. Das Kennwort ist nur sieben Stellen lang und leitet sich von einem zehn Jahre alten Meme ab.

Technion hält das Sicherheitsloch der StoreOnce-Systeme unentschuldbar, zumal HP im Dezember 2010 schon einmal mit einer ähnlichen Sicherheitslücke in die Schlagzeilen geriet. Damals war ein verstecktes Service-Konto für die Netzwerkspeicherlösung StorageWorks P2000 G3 bekannt geworden. Dessen Kennwort ließ sich immerhin ändern – ob dies auch für StoreOnce-Systeme gilt, ist bislang nicht bekannt. (ghi)