HP-storevirtualHewlett-Packard przyznał, że istnieje nieudokumentowane konto administracyjne w serii produktów StoreVirtual i obiecuje poprawkę do dnia 17 lipca br.

Problem, wydaje się istnieć od 2009 roku.

HP w opublikowanym 9 lipca poradniku bezpieczeństwa, stwierdza:

“Usterka może zostać wykorzystana do uzyskania nieautoryzowanego zdalnego dostÄ™pu do urzÄ…dzenia”.

“Wszystkie systemy pamiÄ™ci StoreVirtual sÄ… wyposażone w mechanizm, który umożliwia dziaÅ‚owi wsparcia HP, aby uzyskać dostÄ™p do istniejÄ…cego systemu operacyjnego, gdy posiada on pozwolenie od klienta. Ta funkcja nie może być wyÅ‚Ä…czona dziÅ›.”

“HP potwierdza istnienie tej luki i zapewnia poprawkÄ™, która pozwoli klientom wyÅ‚Ä…czenie mechanizmu dostÄ™pu do wsparcia najdalej do 17 lipca 2013.”

Spółka stwierdza, że ​​”uzyskanie uprawnieÅ„ administratora LeftHand OS nie zapewnia dostÄ™pu do danych użytkowników, które sÄ… przechowywane w systemie”.

Choć dane nie sÄ… dostÄ™pne za poÅ›rednictwem backdoora, jeden  użytkowników powiedziaÅ‚, że konto posiada wystarczajÄ…ce uprawnienia aby zrestartować  wÄ™zÅ‚y w klastrze “i doprowadzić do jego uszkodzenia”.

“Backdoor pozwala jednak przejść do “ZarzÄ…dzania zaufaniem serwerów” i autoryzować inny serwer Systems Insight Manager, ” poinformowaÅ‚ użytkownik, który poprosiÅ‚ o zachowanie anonimowoÅ›ci.

I, oczywiÅ›cie, jest jeszcze opcja “reset factory defaults”, która usuwa wszystkie dane użytkownika.