Компания HP признала наличие серьезной уязвимости в системах хранения данных HP StoreVirtual на операционной системе LeftHand OS.

Специальная функция в этих устройствах предоставляет сотрудникам технической поддержки рутовый доступ к LeftHand OS через интерфейс HP StoreVirtual Command-Line Interface (CLiQ), в удаленном режиме, с разрешения пользователя. Однако, некорректная реализация функции делает возможным получение также несанкционированного доступа. Злоумышленник может перезагрузить устройство и удалить все данные путем «возврата к настройкам по умолчанию», но не может получить доступ к файлам пользователя.

Функцию удаленного доступа невозможно отключить в текущих версиях прошивок.

Список уязвимых устройств

HP P4300
HP P4500
HP P4300 G2
HP P4500 G2
HP P4800 G2
HP P4900 G2
HP P4000 VSA
HP StoreVirtual 4130
HP StoreVirtual 4330
HP StoreVirtual 4530
HP StoreVirtual 4630
HP StoreVirtual 4730
HP StoreVirtual VSA
LeftHand NSM2060
Dell PowerEdge 2950
HP DL320S
IBM System x3650
LeftHand NSM2060 G2
LeftHand NSM2120 G2
LeftHand VSA

По имеющейся информации, эта уязвимость присутствует в устройствах HP с 2009 года.

HP обещает выпустить патчи до 17 июля 2013 года. После установки патча функцию удаленного доступа можно будет отключить.



Оставить мнение