Support-Benutzerkonto erlaubt Fernzugriff auf Speicherlösung

Backdoor im HP StoreOnce D2D Backup System

| Redakteur: Stephan Augsten

Das HP StoreOnce D2D4324 Backup System ist eines von mehreren anfälligen HP-Geräten.
Das HP StoreOnce D2D4324 Backup System ist eines von mehreren anfälligen HP-Geräten. (Bild: HP)

Im HP StoreOnce Disk-to-Disk (D2D) Backup System wurde eine Sicherheitslücke gefunden, die externe Zugriffe, einen Werksreset und das Löschen von Backups ermöglicht. Schuld ist ein Benutzerkonto für den HP-Support, das nur mit einem Standard-Passwort abgesichert ist.

HP warnt davor, dass Angreifer sich Zugriff auf das HP StoreOnce D2D Backup System verschaffen könnten. Betroffen seien jene Plattformen, die mit den Software-Versionen 2.2.17 bzw. 1.2.17 und ihren jeweiligen Vorgängern betrieben werden.

Sicher können sich hingegen HP-Kunden fühlen, auf deren Lösungen die Software-Version 3.0.0 oder höher installiert ist. Entsprechende Geräte verfügen nämlich nicht mehr über den Benutzer-Account, der es dem HP-Support oder im Zweifelsfall auch Angreifern ermöglicht, auf die Plattform zuzugreifen.

Nach Angaben von HP erlaubt das Benutzerkonto nicht, Daten einzusehen, die mit einem HP StoreOnce D2D Backup System gesichert wurden. Anfällige Geräte könnten aber auf Werkseinstellungen zurückgesetzt werden. Außerdem lassen sich die bereits erstellten Backups im schlimmsten Fall löschen.

HP arbeitet bereits an einem Software-Patch, der an diesem Sonntag, 7. Juli 2013, für Kunden erhältlich sein soll. Das Update muss offenbar manuell installiert werden und soll das „undokumentierte HP-Support-Benutzerkonto“ vollständig deaktivieren.

Sofern Kunden die Hintertür umgehend geschlossen wissen möchten, sollen sie sich laut der Schwachstellen-Meldung CVE-2013-2342 direkt an den normalen HP Services Support Channel wenden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 40310480 / Schwachstellen-Management)