Hintertür in HP Netzwerkspeicherlösung [2. Update]
Die Speicher-Array-Lösung MSA 2000 G3 hat in der Firmware ein undokumentiertes, fest definiertes Konto, das sogar mehr Zugriffsrechte als der Standard-Anwender hat.
- Daniel Bachfeld
Offenbar für Support-Zwecke enthält HPs Speicherlösung MSA 2000 G3 ein Konto, das nicht dokumentiert ist und sogar über mehr Zugriffsrechte verfügt als das normale, einstellbare Konto (manage:!manage). Das in der Benutzerverwaltung nicht sichtbare Support-Konto (admin:!admin) lässt sich nicht löschen oder ändern. Unautorisierte Anwender können somit auf die Systeme und dort gespeicherte Daten zugreifen.
Gegenüber einem heise-Online-Leser, der über das Problem gestolpert war, soll der HP-Support zugegeben haben, dass sich mit dem Konto "Einstellungen an der Hardware sowie dem zugrunde liegendenden Betriebssystem des SAN durchführen" lassen und es daher nicht für die Benutzung durch den Kunden gedacht sei. Gegenüber US-Medien hat HP das Problem bestätigt und einen Fix angekündigt, um es zu lösen.
[Update:] offenbar lässt sich das Passwort des versteckten Nutzers doch ändern. Einem Posting auf Bugtraq zufolge muss man dazu auf der Kommandozeile das Passwort von "admin" via "set password admin password" ändern.
[2.Update:] Nach Angaben von HP ist nur StorageWorks P2000 G3 betroffen, die MSA-Produktlinie soll das feste Konto hingegen nicht enthalten. (dab)
