Компания HP признала наличие серьезной уязвимости в системах хранения данных HP StoreVirtual на операционной системе LeftHand OS.
Специальная функция в этих устройствах предоставляет сотрудникам технической поддержки рутовый доступ к LeftHand OS через интерфейс HP StoreVirtual Command-Line Interface (CLiQ), в удаленном режиме, с разрешения пользователя. Однако, некорректная реализация функции делает возможным получение также несанкционированного доступа. Злоумышленник может перезагрузить устройство и удалить все данные путем «возврата к настройкам по умолчанию», но не может получить доступ к файлам пользователя.
Функцию удаленного доступа невозможно отключить в текущих версиях прошивок.
Список уязвимых устройств
HP P4300 HP P4500 HP P4300 G2 HP P4500 G2 HP P4800 G2 HP P4900 G2 HP P4000 VSA HP StoreVirtual 4130 HP StoreVirtual 4330 HP StoreVirtual 4530 HP StoreVirtual 4630 HP StoreVirtual 4730 HP StoreVirtual VSA LeftHand NSM2060 Dell PowerEdge 2950 HP DL320S IBM System x3650 LeftHand NSM2060 G2 LeftHand NSM2120 G2 LeftHand VSA
По имеющейся информации, эта уязвимость присутствует в устройствах HP с 2009 года.
HP обещает выпустить патчи до 17 июля 2013 года. После установки патча функцию удаленного доступа можно будет отключить.
