Backdoor w systemach storage firmy HP

Jak pokazuje pewne odkrycie, wysoka cena urządzenia sieciowego nie zawsze oznacza jego wysokie bezpieczeństwo. Kto by pomyślał, że w sprzęcie za który trzeba zapłacić nawet przeszło $80 000 (D2D / StorOnce Storage unit) zaszyty jest „serwisowy” użytkownik o loginie HPSupport (posiadający uprawnienia administracyjne – a jakże) i do tego z prościutkim hasłem? Logowanie możliwe via ssh.

Autor odkrycia przy okazji wskazuje na innego buga w rozwiązaniu klasy SAN od HP. Tym razem „ukryte” konto administracyjne miało login: admin z hasłem: !admin. Czyż nie przypomina to naszego rodzimego admin1? ;-)

–ms