» »

Odkrita stranska vrata v HP MSA2000 G3

Odkrita stranska vrata v HP MSA2000 G3

Slo-Tech - V Hewlett-Packardovem modularnem sistemu za shranjevanje podatkov HP MSA2000 G3 so bila včeraj odkrita stranska vrata. Naprava ima namreč vgrajenega skrivnega uporabnika z administratorskimi pravicami, ki se ne prikaže v seznamu uporabnikov in ga ni mogoče odstraniti. Njegove prijavne informacije so uporabniško ime admin in geslo !admin ter se ne morejo spremeniti, kar je zelo resen problem. SecurityWeek je že stopil v stik s Hewlett-Packardom, ki je obljubil, da bo kmalu posredoval odgovor. Pričakujemo lahko, da bodo tudi poskrbeli za popravek, ki bo neželenega uporabnika onemogočil in stranska vrata zaklenil.

Žal je praksa vgrajevanja skrivnih uporabnikov in stranskih vrat razširjena bolj, kot bi naivno pričakovali. Nekaj podobnega so nedavno odkrili pri Ciscu. In znova se pokaže, zakaj je slepo zanašanje na benevolenco kupljenega zaprtega programja in strojne opreme slabo.

11 komentarjev

Spock83 ::

Nič posebnega. Skoraj ni naprave, da en bi imela stranska vrata (za mrežne naprave to pribito drži).

MisterR ::

In znova se pokaže, zakaj je slepo zanašanje na benevolenco kupljenega zaprtega programja in strojne opreme slabo.


Ja right, odprto programje pa nima stranskih vrat oz. je imuno na le te.

Pyr0Beast ::

Odprto programje se da vsaj popraviti.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Osprey ::

MisterR je izjavil:


Ja right, odprto programje pa nima stranskih vrat oz. je imuno na le te.


8-O
Kaka logika pa je to? Morda ima, ampak to lahko preveriš. Že iz tega razloga je manj verjetno, da bi to kdo poskušal, če pa že, pa se kaj hitro odkrije in popravi. V praksi je takih primerov bilo ZELO malo, vedno pa se je hitro odkrilo in popravilo. V končni fazi - če tega ne bi hotel narediti avtor, to narediš sam in si skompajlaš svojo verzijo.

Zgodovina sprememb…

  • spremenilo: Osprey ()

mrdaco ::

Ma ja big deal... Geslo in pass se lahko uporabljata samo preko konzole, oziroma com porta, kar pomeni da moraš biti fizično prisoten ob napravi, če hočeš dostop uporabljat. V tem primeru je nepridipravu lažje da pobere MSA2000 pod pazduho in si ga odnese domov. Back dor je namenjen v slučaju če pozabiš userja od web konzole, in si na ta način pomagaš do njega preko com porta in serijskega kabla.

V glavnem brezvezni članek!

Zgodovina sprememb…

  • spremenil: mrdaco ()

Looooooka ::

Najedajoci...piskajoci linuxasi.Tle ni noben problem zaprta koda.Kako bos pa ti vedel kaj so oni skompajlal pa dal na masino.Kako vas ni sram klobasat take bedarije.Tle je problem v najslabsem primeru sporna in nesramna praksa podjetja v najboljsem pa salabajzarstvo programerja, ki je to "ponesrec" not pustu.Ok...spregledam mrdacov komentar...najslabsa stvar je torej cela novica in komentar na koncu =)
Najhujs

Zgodovina sprememb…

  • spremenilo: Looooooka ()

metalc ::

Zgleda, da je ena pi**arija prišla tudi v sam OpenBSD. Sem že napisal novico, ki trenutno čaka v čakalnici....

denial ::

Turns out it's possible to change the admin password via CLI. Na koncu se bo odkrilo da je zadeva celo dokumentirana :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

antonija ::

Nič posebnega. Skoraj ni naprave, da en bi imela stranska vrata (za mrežne naprave to pribito drži).

Ima pol kdo user:pass od T-2jevih opticnih switchev? :\
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Pancho ::

Če kdo išče odgovor, ga najde tule:
http://h20000.www2.hp.com/bizsupport/Te...

Piše, zakaj je tam in kako se ga spremeni. Če je pa kdo tako pameten, da ima omogočen dostop do management porta od zunaj preko interneta, potem si pač narobe razlaga varnost neke naprave.

Mrdaco, nimaš čisto prav - do CLIja se lahko pride tudi preko SSHja ali telneta.
I haven't failed, I just found 1000 ways that don't work...

Poldi112 ::

metalc je izjavil:

Zgleda, da je ena pi**arija prišla tudi v sam OpenBSD. Sem že napisal novico, ki trenutno čaka v čakalnici....


Ti pa ne bereš preveč novic tu na ST, ane?

denial je izjavil:

Turns out it's possible to change the admin password via CLI. Na koncu se bo odkrilo da je zadeva celo dokumentirana :D


Ja, in datum dokumenta je 16.12. So dokumentirali, ko je nekdo opazil da to obstaja...

mrdaco je izjavil:

Ma ja big deal... Geslo in pass se lahko uporabljata samo preko konzole, oziroma com porta, kar pomeni da moraš biti fizično prisoten ob napravi, če hočeš dostop uporabljat. V tem primeru je nepridipravu lažje da pobere MSA2000 pod pazduho in si ga odnese domov. Back dor je namenjen v slučaju če pozabiš userja od web konzole, in si na ta način pomagaš do njega preko com porta in serijskega kabla.

V glavnem brezvezni članek!


Od kje ti ideja, da geslo dela samo preko serijskega kabla?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft kupil Yammer

Oddelek: Novice / Nakupi / združitve / propadi		188639 (7346) zmaugy
»

Romunski hekerji v ZDA tri leta kradli številke kreditnih kartic

Oddelek: Novice / Varnost		4613098 (10088) SkipEU
»

RIM ne more ugoditi indijskim zahtevam

Oddelek: Novice / NWO		134495 (3619) poweroff
»

Okužen USB-ključ okužil ameriške vojaške računalnike

Oddelek: Novice / Varnost		185830 (4394) poweroff
»

"Hekanje" elektronskih ključavnic znamke Sentex

Oddelek: Novice / Varnost		105709 (2716) poweroff

Več podobnih tem