HPのStoreVirtual Storageに「秘密のバックドア」が用意されていたことが明らかになる
2013年7月16日 12:58
あるAnonymous Coward 曰く、 ヒューレットパッカード(HP)は同社のストレージシステム「StoreVirtual」シリーズに「リモートからの不適切なアクセスが可能」であることを認めた(The Register、本家/.、サポートドキュメント)。
StoreVirtualシリーズは「LeftHand」というカスタムOSを搭載したストレージシステム。原則としてエンドユーザーはOSにアクセスできないが、HP StoreVirtualコマンドラインインターフェイス(CLiQ)を使えばOSへの限定的なアクセスが可能な仕様になっている。それに加え、「HPのサポート担当者がサポートのためにroot権限でアクセスする」ことを目的とした機構も秘密裏に用意されていたという。この問題が存在するのはLeftHand 10.5以上で、リモートからシステムやOS上で稼働しているソフトウェアへのroot権限でのアクセスが行えるという。
HPによると、保存されたデータへのアクセスは許可されていないとのこと。ただし特定のノードをリブートすることは可能なためストレージクラスタを壊すことはできる。またこのアカウントを使えばファクトリーリセットも行えるという。
HPはすでに今回の問題を認めており、すぐにこのアカウントを削除するバグフィックスを提供するとのことだ。
HPのサポートフォーラムには、「管理者パスワードを忘れた顧客のサーバーにHPのサポート担当者がログインしてパスワードをリセットした」といった事例が報告されているという。このような遠隔からのrootログインが可能な機構は、攻撃に悪用される可能性があるとして問題視されている。
スラッシュドットのコメントを読む | ITセクション | HP | バグ
関連ストーリー:
Raspberry Pi をハードウェア的なバックドアとして悪用する 2013年03月21日
中国製の半導体チップに「バックドア」が発見される 2012年05月29日
FBI、Facebook や Skype に監視用のバックドアを要求 2012年05月11日