パスワードを忘れた? アカウント作成
Close
9458570 story
HP

HPのStoreVirtual Storageに「秘密のバックドア」が用意されていたことが明らかになる 23

ストーリー by hylom
うっかりか意図的か 部門より
あるAnonymous Coward 曰く、

ヒューレットパッカード(HP)は同社のストレージシステム「StoreVirtual」シリーズに「リモートからの不適切なアクセスが可能」であることを認めた(The Register本家/.サポートドキュメント)。

StoreVirtualシリーズは「LeftHand」というカスタムOSを搭載したストレージシステム。原則としてエンドユーザーはOSにアクセスできないが、HP StoreVirtualコマンドラインインターフェイス(CLiQ)を使えばOSへの限定的なアクセスが可能な仕様になっている。それに加え、「HPのサポート担当者がサポートのためにroot権限でアクセスする」ことを目的とした機構も秘密裏に用意されていたという。この問題が存在するのはLeftHand 10.5以上で、リモートからシステムやOS上で稼働しているソフトウェアへのroot権限でのアクセスが行えるという。

HPによると、保存されたデータへのアクセスは許可されていないとのこと。ただし特定のノードをリブートすることは可能なためストレージクラスタを壊すことはできる。またこのアカウントを使えばファクトリーリセットも行えるという。

HPはすでに今回の問題を認めており、すぐにこのアカウントを削除するバグフィックスを提供するとのことだ。

HPのサポートフォーラムには、「管理者パスワードを忘れた顧客のサーバーにHPのサポート担当者がログインしてパスワードをリセットした」といった事例が報告されているという。このような遠隔からのrootログインが可能な機構は、攻撃に悪用される可能性があるとして問題視されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

HPのStoreVirtual Storageに「秘密のバックドア」が用意されていたことが明らかになる More

  • ってのが、一番確率高い。
    4年程前に、県の教育関係専用線使用ネットワークに接続しているパソコンが全滅した事件があった。
    メンテ用にホストマシンに接続したパソコンがウイルスに感染していたということだった。
    HPも顧客用のメーリングシステムがやられたことがあるので、安心できない。

    • Re: (スコア:0)

      by Anonymous Coward

      今回の件はウィルスは関係なくて、そういう仕様なんだけど。
      どこからウィルスなんて発想が湧いてきたのか?

      • Re: (スコア:0)

        by Anonymous Coward

        このような遠隔からのrootログインが可能な機構は、攻撃に悪用される可能性があるとして問題視されている。

        ということで、この仕様を悪用したウイルスが出たら怖い、という話に見えました。

  • 仕方ない (スコア:0)

    by Anonymous Coward on 2013年07月16日 13時05分 (#2422074)

    メンテ用のバックドアがないと不便だし仕方ないと思いますが

    • Re: (スコア:0)

      by Anonymous Coward
      ELECOMのルータでGPL違反とセキュリティ問題が発覚 [srad.jp]
      ELECOMルータの修正されたファーム配布開始 [srad.jp]

      当社メンテナンス用に設けていた管理用アカウント/CGIを削

    • Re: (スコア:0)

      by Anonymous Coward

      僕のバックドアも封鎖されそうです

    • Re: (スコア:0)

      by Anonymous Coward

      だよなぁ

      俺自身会社でNetAppやらHPとかの機器をメンテしてるけどこの手のバックドアは別に珍しくもねーし
      最近はHPもプロアクティブケアとかで本国からのリモートメンテも売りにしてるぐらいだし
      (この手のサービスはEMCとかもやってる)

      一体何を大騒ぎしてるのやらさっぱり理解できんのだが

      • Re: (スコア:0)

        by Anonymous Coward

        君が知ってるのはバックドアではなく普通の管理用のアカウント。
        今回問題なのは、HPのサポートしか知らない秘密のバックドアがあるってこと。

        • Re: (スコア:0)

          by Anonymous Coward

          HPのサポートしか知らない秘密のバックドアがあるってこと。

          君はHPのストレージ製品触った事あるかい?
          ユーザーにはアカウントを公開してないメーカー技術者専用メンテナンスモードに入る為のリンクが堂々と表示されてるんだけど

          バックドアの存在自体は秘密でもなんでもないのよ

  • 秘密のバックドア (スコア:0)

    by Anonymous Coward on 2013年07月16日 13時20分 (#2422093)

    では、発覚するまでもなく最初から公知なバックドアって何だろ…。

    • Ciscoのルーターで、コンフィグレーションレジスタを弄ってNVRAMを無視して起動させる、とかは、用途としてはバックドアに近いかな、と思ってます。
      厳密には違うんでしょうけど……。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      説明書に記載がある限定的なアクセス方法とか。

      YAMAHAルーターだと"w,lXlma"とか有名よね。

      • Re: (スコア:0)

        by Anonymous Coward

        でもYAMAHAのそれが有効なのは、シリアル接続の場合だけだし。
        今回のHPの場合はネットワーク接続でも有効なので、よりたちが悪い。

    • Re: (スコア:0)

      by Anonymous Coward
      scott/tiger

    • Re: (スコア:0)

      by Anonymous Coward
      iLOとか、最近の機種だとEthernet port0のサブMACアドレスで実装されているので、RBSUで無効にしないまま、ネットワークに繋ぐと電源とかにアクセス出来るよ。もしろんパスフレーズは、本体のタグに書かれてるけど、だいたい付けっぱなし。

    • Re: (スコア:0)

      by Anonymous Coward

      他のコメントでも言及されてますけど、
      「便利だと思って設置してあり、機能が存在することも普通に知られて居る。でも見る人が見れば(危険な)バックドアに他ならない」
      というケースですよね。最初から公知のバックドア。

      スマホのサポートでヘルプデスク側から端末の権限一通り奪える、とか。

      • Re: (スコア:0)

        by Anonymous Coward

        スマホは今度から
        GPSを遠隔でON/OFFできるようになるね。

      • Re: (スコア:0)

        by Anonymous Coward

        公知の機能に加えてバックドアもあったという話

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家