Suchen

Support-Benutzerkonto erlaubt Fernzugriff auf Speicherlösung Backdoor im HP StoreOnce D2D Backup System

Redakteur: Stephan Augsten

Im HP StoreOnce Disk-to-Disk (D2D) Backup System wurde eine Sicherheitslücke gefunden, die externe Zugriffe, einen Werksreset und das Löschen von Backups ermöglicht. Schuld ist ein Benutzerkonto für den HP-Support, das nur mit einem Standard-Passwort abgesichert ist.

Firmen zum Thema

Das HP StoreOnce D2D4324 Backup System ist eines von mehreren anfälligen HP-Geräten.
Das HP StoreOnce D2D4324 Backup System ist eines von mehreren anfälligen HP-Geräten.
(Bild: HP)

HP warnt davor, dass Angreifer sich Zugriff auf das HP StoreOnce D2D Backup System verschaffen könnten. Betroffen seien jene Plattformen, die mit den Software-Versionen 2.2.17 bzw. 1.2.17 und ihren jeweiligen Vorgängern betrieben werden.

Sicher können sich hingegen HP-Kunden fühlen, auf deren Lösungen die Software-Version 3.0.0 oder höher installiert ist. Entsprechende Geräte verfügen nämlich nicht mehr über den Benutzer-Account, der es dem HP-Support oder im Zweifelsfall auch Angreifern ermöglicht, auf die Plattform zuzugreifen.

Nach Angaben von HP erlaubt das Benutzerkonto nicht, Daten einzusehen, die mit einem HP StoreOnce D2D Backup System gesichert wurden. Anfällige Geräte könnten aber auf Werkseinstellungen zurückgesetzt werden. Außerdem lassen sich die bereits erstellten Backups im schlimmsten Fall löschen.

HP arbeitet bereits an einem Software-Patch, der an diesem Sonntag, 7. Juli 2013, für Kunden erhältlich sein soll. Das Update muss offenbar manuell installiert werden und soll das „undokumentierte HP-Support-Benutzerkonto“ vollständig deaktivieren.

Sofern Kunden die Hintertür umgehend geschlossen wissen möchten, sollen sie sich laut der Schwachstellen-Meldung CVE-2013-2342 direkt an den normalen HP Services Support Channel wenden.

(ID:40310480)