Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/06/2013
Puerta trasera descubierta en servidores de respaldo HP
Según el investigador de seguridad Technion, lo único que se requiere para comprometer remotamente los sistemas de respaldo de HP, StoreOnce, es tener acceso por medio de Secure Shell (SSH). Basta con ingresar el nombre de usuario "HPSupport" (sin comillas) y una contraseña previamente establecida, para obtener acceso a una página de administrador no documentada.
Los sistemas StoreOnce no son productos baratos: la versión de 12 discos de 1 terabyte cada uno (con una capacidad únicamente de 6 terabytes), tiene un costo mayor a los 12 mil euros. El valor agregado del sistema, comparado con un servidor normal de estas capacidades, lo brinda el software StoreOnce Catalyst, incluido con el servidor. De acuerdo a HP, la funcionalidad de duplicación de datos del software permite reducir el tamaño de los respaldos de datos hasta un 95%.
La vulnerabilidad fue publicada en el blog del investigador, en donde menciona que HP ha dejado pasar tres semanas sin hacerle caso y sin poner solución a la vulnerabilidad. También explica que, dado que HP fue la compañía responsable de crear la Iniciativa de Día Cero (ZDI por sus siglas en inglés), su actitud es inaceptable. Cabe mencionar que esta iniciativa brinda a los fabricantes hasta 60 días para resolver sus vulnerabilidades.
La publicación se tornó un poco agresiva debido a la decisión de Technion de publicar el hash SHA1 de la contraseña para poder acceder a la cuenta escondida de administrador. Bastaría realizar un ataque de fuerza bruta para obtener la contraseña de administrador, por lo que no tardará mucho en circular la contraseña en claro por varios foros de Internet. La contraseña es de siete caracteres de largo y se basa en una imagen de burla que circula por la red, uno de los comúnmente llamados memes.
Technion considera que la vulnerabilidad de StoreOnce no tiene excusas, especialmente por que HP también recibió reportes de vulnerabilidades de seguridad similares en diciembre de 2010, cuando se reveló que existía una cuenta de servicio escondida en la solución de almacenamiento en red, StorageWorks P2000 G3. En ese fallo, era posible cambiar la contraseña, acción que en la vulnerabilidad de StoreOnce aún no se sabe.