惠普存储:后台程序安全性成问题
Bob 发表于:13年07月09日 13:25 [翻译] DOIT.com.cn
DOSTOR存储在线 7月9日国外消息:Technion发表博文称惠普存储StoreOnce出现一个无证的后门木马(backdoor注解:绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险。),其他惠普产品上也出现了类似的问题,由公司技术支持论坛上公开的,但在当时却被忽视。根据他的搜罗各种惠普论坛,告诉媒体(The Register )基于LeftHand的操作系统StoreVirtual SAN产品被公司植入了backdoor。
所用的硬件包括一个硬件式的重置按键,设定为出厂默认值,但是这是作为一项安全措施(即让使用人员无法对他们不应该访问的硬件的管理员权限进行重置)。然而,解决方案似乎没有更好的技术手段:现在只能通过惠普技术支持进行远程管理密码恢复。
这表明早在2009年的账目存在,惠普访问支持账户已被纳入LeftHand的9.0及更高版本的代码。已经多次证明,任何可远程访问的登录提供了一个潜在的攻击媒介,使得用户ID和密码被攻击者所发现。
通过Technion论坛以及惠普方面了解的情况可以明确确定的是:管理员丢失的密码通过惠普是可以恢复的。一个方法、从2011年11月,指出:“你需要电话支持和他们可以进入支持和重置它给你。1-800-633-3600'LeftHand的解决方案。另外发布于2009年,由LeftHand的产品经理说:“呼叫支持。他们可以远程重置密码。”
The Register 上周接触惠普,今天收到回应:“惠普为广大客户的责任,重视其维持当前的安全政策作为重中之重。我们意识到惠普StoreVirtual一个潜在的安全问题,并正在积极努力为我们的客户进行了修复。我们一经提供就会共享更多的信息 。”