HP-storevirtualHewlett-Packard przyznał, że istnieje nieudokumentowane konto administracyjne w serii produktów StoreVirtual i obiecuje poprawkę do dnia 17 lipca br.

Problem, wydaje się istnieć od 2009 roku.

HP w opublikowanym 9 lipca poradniku bezpieczeństwa, stwierdza:

„Usterka może zostać wykorzystana do uzyskania nieautoryzowanego zdalnego dostępu do urządzenia”.

„Wszystkie systemy pamięci StoreVirtual są wyposażone w mechanizm, który umożliwia działowi wsparcia HP, aby uzyskać dostęp do istniejącego systemu operacyjnego, gdy posiada on pozwolenie od klienta. Ta funkcja nie może być wyłączona dziś.”

„HP potwierdza istnienie tej luki i zapewnia poprawkę, która pozwoli klientom wyłączenie mechanizmu dostępu do wsparcia najdalej do 17 lipca 2013.”

Spółka stwierdza, że ​​”uzyskanie uprawnień administratora LeftHand OS nie zapewnia dostępu do danych użytkowników, które są przechowywane w systemie”.

Choć dane nie są dostępne za pośrednictwem backdoora, jeden  użytkowników powiedział, że konto posiada wystarczające uprawnienia aby zrestartować  węzły w klastrze „i doprowadzić do jego uszkodzenia”.

„Backdoor pozwala jednak przejść do „Zarządzania zaufaniem serwerów” i autoryzować inny serwer Systems Insight Manager, ” poinformował użytkownik, który poprosił o zachowanie anonimowości.

I, oczywiście, jest jeszcze opcja „reset factory defaults”, która usuwa wszystkie dane użytkownika.