HP-storevirtualHewlett-Packard przyznał, że istnieje nieudokumentowane konto administracyjne w serii produktów StoreVirtual i obiecuje poprawkę do dnia 17 lipca br.

Problem, wydaje się istnieć od 2009 roku.

HP w opublikowanym 9 lipca poradniku bezpieczeństwa, stwierdza:

“Usterka może zostać wykorzystana do uzyskania nieautoryzowanego zdalnego dostępu do urządzenia”.

“Wszystkie systemy pamięci StoreVirtual są wyposażone w mechanizm, który umożliwia działowi wsparcia HP, aby uzyskać dostęp do istniejącego systemu operacyjnego, gdy posiada on pozwolenie od klienta. Ta funkcja nie może być wyłączona dziś.”

“HP potwierdza istnienie tej luki i zapewnia poprawkę, która pozwoli klientom wyłączenie mechanizmu dostępu do wsparcia najdalej do 17 lipca 2013.”

Spółka stwierdza, że ​​”uzyskanie uprawnień administratora LeftHand OS nie zapewnia dostępu do danych użytkowników, które są przechowywane w systemie”.

Choć dane nie są dostępne za pośrednictwem backdoora, jeden  użytkowników powiedział, że konto posiada wystarczające uprawnienia aby zrestartować  węzły w klastrze “i doprowadzić do jego uszkodzenia”.

“Backdoor pozwala jednak przejść do “Zarządzania zaufaniem serwerów” i autoryzować inny serwer Systems Insight Manager, ” poinformował użytkownik, który poprosił o zachowanie anonimowości.

I, oczywiście, jest jeszcze opcja “reset factory defaults”, która usuwa wszystkie dane użytkownika.