HP comble une faille de sécurité dans ses systèmes de stockage StoreVirtual
HP vient de combler une vulnérabilité qui affectait la plupart de ses baies de stockage StoreVirtual (ex LeftHand P4000) et qui permettait à un assaillant extérieur de pouvoir disposer d’un accès non autorisé à l’équipement.
HP vient de combler une vulnérabilité qui affectait la plupart de ses baies de stockage StoreVirtual (ex LeftHand P4000) et qui permettait à un assaillant extérieur de pouvoir disposer d’un accès non autorisé à l’équipement.
La faille, dévoilée par Joshua Small, un chercheur en sécurité qui publie ses découvertes sur son site www.lolware.net, est liée à l’installation par HP d’un accès administrateur permettant à la firme de prendre la main à distance sur un système à des fins de dépannage. Problème en tapant le login HPSupport et le mot de passe statique approprié, n’importe qui pouvait accéder à distance aux systèmes StoreVirtual.
Pour sécuriser l’accès root à distance par les services de support HP, le constructeur a donc remplacé le mot de passe statique par un système à base de défi/réponse utilisant un mot de passe jetable (one-time password). Le support HP peut donc ainsi continuer à dépanner à distance un client, si celui-ci a préalablement donné sa permission. HP note toutefois que l’accès à l’OS LeftHand ne donne pas accès aux données stockées sur le système.
Le correctif produit par le constructeur s’applique à tous les systèmes basés sur une version de LeftHand OS (ex-SAN IQ) postérieure à la 10.5. Il est détaillé dans le bulletin de sécurité HPSBST02896 rev.2 du constructeur.
En complément, sur LeMagIT :
