Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 48, views: 21.686 •
Submitter: Pimmeh

Enkele backupsystemen van HP bevatten een backdoor in de vorm van een geheim administrator-account, zo ontdekte een beveiligingsonderzoeker. Kwaadwillenden kunnen hiermee toegang tot deze systemen krijgen.

Het betreft de D2D- en StorOnce-backupsystemen van HP. In de documentatie zou niet worden gesproken over een dergelijk account. De beveiligingsonderzoeker Technion heeft de gebruikersnaam en de bijbehorende sha1-hash van het 'geheime' administrator-account op zijn website geplaatst. Inmiddels is de hash door anderen al gekraakt en is het wachtwoord dus openbaar. De gebruikersnaam is 'HPSupport' met als wachtwoord 'badg3r5'.

Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden bij HP zodat het bedrijf er iets aan kon doen, maar tevergeefs. Hij noemt het gedrag van HP onacceptabel, aangezien HP achter het zogenoemde Zero Day Initiative zit. Het ZDI is een programma dat beloningen geeft voor het melden van kwetsbaarheden en belooft te helpen om kwetsbaarheden op te lossen. Ook zegt ZDI dat het kwetsbaarheden die zijn gemeld 'niet onder het tapijt zal vegen'.

In 2010 werd ook al een backdoor aangetroffen in een san-systeem van HP. Het betrof toen de StorageWorks P2000 G3 waar een geheim account aanwezig was. De username en password waren overigens bijzonder simpel; 'admin' en '!admin'. HP bracht toen een fix uit zodat het wachtwoord veranderd kon worden via een commandline-interface.

Reacties (48)

Reactiefilter:-148044+131+210+30
Ontzettend jammer dat deze persoon hier zo mee om gaat.
Een echte beveiligingsonderzoeker zou dit ook niet op deze manier horen te doen naar mijn mening.
Het is jammer dat HP er zo mee om gaan. Gewoon negeren. Deze man meld het zodat er iets aan gedaan kan worden. Niemand weet hoeveel andere dit ook al hebben uitgevonden en er volle bak misbruik van maken. En het nooit zullen melden.
support accounts zijn in bepaalde gevallen nodig, want moest het volledig dichtgetimmerd zijn, dan kan je je materiaal op het stort gooien in de shredder dumpen, omdat het dan nutteloos is geworden
En zo hoort het ook. Het is je eigen verantwoordelijkheid om de credentials van je eigen apparatuur te bewaken. Mocht je die kwijtraken dan is dat dus je eigen stomme schuld. En absoluut geen reden om backdoors / geheime accounts op dergelijke apparatuur te plaatsen.

Het zou toch wat zijn als bij een bankkluis er stiekem nog een klein simpel sleuteltje is waarmee je de kluis ook open kunt maken, terwijl dat bij de bank niet eens bekend is.
Daar heb je gelijk in maar wat is er mis met een hardware reset jumper?
Niet voor encrypted data maar om opnieuw in te kunnen stellen.

[Reactie gewijzigd door Soldaatje op 25 juni 2013 19:52]

Maar in een product van een ton, ga je dan geen SHA1 gebruiken. Je gebruikt een veiliger algoritme, of nog beter certificate based authentication met een voldoende lange key... Bovendien provision je je product, zodat elke installatie zijn eigen certificaten heeft. Dit is echt het niveau: Ow ja we hebben een admin account nodig, laten we het er ff in prutsen, we doen het later wel een keer goed...
Welk hashing-algoritme je gebruikt is minder boeiend dan welk wachtwoord je gebruikt. Focus even op het echte probleem, dat is een eenvoudig wachtwoord dat met weinig moeite gebruteforced kon worden, ongeacht het gebruikte hashing-algoritme.
Helemaal mee eens.
Er zijn meer producten met dergelijke 'achterdeuren'.
Formeel onder het motto van "voor support doeleinden".

Tja.... Ik zeg altijd maar zo:
Je kan een honkbalknuppel volledig legitiem gebruiken op het veld om honkbal mee te spelen. Je kan 'm echter ook gebruiken om iemand z'n schedel mee in te slaan...

Wat mij jeukt is de stilte rondom dergelijke accounts!
Dat wekt bij mij een argwaan op die het vertrouwen in het product geen goed doen.
De reactie van dasiro
kan je je materiaal op het stort gooien in de shredder dumpen
is ook een totaal NON-argument!
IK ben verantwoordelijk voor mijn storage-omgeving!
Als ik besluit dat dicht te timmeren, en ga vervolgens slecht om met beveiligingsprocedures, dan heb IK een probleem.

btw... De hardware is vervolgens niet tot schrot te waarderen... Je kan altijd weer naar factory-default firmware gaan! (hopelijk heb je wel een goede config-backup... Maar ook dat moet je in je procedures goed borgen)

[Reactie gewijzigd door ]Byte[ op 26 juni 2013 09:08]

Het is jammer dat HP er zo mee om gaan.
Het is moellijk om te bepalen hoe HP werkelijk omgaat met security meldingen gebaseerd op het blogje van deze persoon.

Als zijn blogpost een voorbeeld is van hoe hij communiceert en hij dus ook zo communiceert richting HP dan verbaast het mj niet dat de communicatie moeilijk verloopt.
Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden bij HP (...)
Hij heeft zijn best gedaan. Evengoed had hij 'de wereld' alleen maar hoeven te vertellen dat het account bestaat, met eventueel de naam erbij. Maar zonder zelfs maar de hint van het wachtwoord.
Eindelijk some common sense.. al die reacties dat ze het verdiend hadden... er zijn betere manieren zoals adq aandraagt. Wat hij nu doet is natuurlijk goedkoop scoren, terwijl hij doet alsof hij een held is door het wachtwoord gehasht online te zetten. Nee, dat gaan mensen echt niet kraken, en: ja maar ik zette toch niet zomaar het wachtwoord online?
Alsof dat wat uit maakt. Op het moment dat het bekend is dat er uberhaupt een fixed admin account in een stuk software is kan je er van uit gaan dat iemand in no-time de credentials boven water krijgt. Het maakt echt niks uit hoe volledig het gepubliceerd wordt.

Scenario 1: hij meld het niet, HP fixt het niet, maar hackers en crackers abusen het.

Scenario 2: hij meld het, maar met weinig gegevens, hackers en crackers abusen het.

Scenario 3: hij meld het aan HP, HP fixt het, probleem opgelost, hij krijgt de credits.

Dat zijn ongeveer je keuzes. Er is geen enkele situatie waarbij HP het niet op lost en het niet misbruikt wordt. Als 1 persoon het weet of er achter komt kan iemand anders dat net zo goed. Alleen een fix van HP is een oplossing. Dus dat hij alles publiceert is JUIST een goed idee. Dan kunnen mensen die dat systeem gebruiken testen of ze vatbaar zijn, en dan wordt de druk op HP opgeschroefd en doen ze er misschien opeens wel wat aan.
Dit is geen gewoon lek maar een achterdeur die HP bewust heeft ingebouwd. Dan mag HP best aan de schandpaal worden genageld.
Makkelijker binnenkomen voor de NSA en consorten, zo hoeven ze niet in te breken maar kunnen ze gewoon inloggen.

Zou er ook een "homecalling" functie op zitten om het nog makkelijker te maken voor HP?
Ja, de link 'contact support' in de webinterface.

Overigens is een achterdeur niet uniek, de gemiddelde NAS waar menig tweaker zo dol op is hebben dat ook.
En als je je NAS gebricked hebt hoor je niemand klagen ;)
Maar je mag als nieuws site toch wel even HP om commentaar vragen? Is dat gedaan of is dit gewoon overgenomen van andere nieuws sites die die kleine moeite ook niet gedaan hebben?
Op wie reageer je nu? Of plaats je je reactie gewoon op een willekeurige plaats in de draad?
Ik ben het met je eens en snap niet dat je -1 wordt gemod. Er zijn ook manieren om het aan de grote klok te hangen zonder gelijk die wachtwoorden de wijde wereld in te smijten. Dit is bijzonder vervelend voor mensen die deze systemen beheren en ze nu helemaal dicht zullen moeten gooien om misbruik door gelegenheidsscriptkiddies te voorkomen :{
Fout. Dat hij het toevallig komt melden maakt nog niet dat niemand anders het al wist en actief misbruikte. En als iemand *iets* meld, dan kan je er van uit gaan dat het vrij eenvoudig is om de complete credentials te achterhalen. Even een software of firmware update van HP downloaden, met strings er doorheen zeven en bam, je hebt wat je nodig hebt. (Of je moet het eerst unpacken, of je moet een Flash/ROM dump analyseren, maar hoe dan ook, als je credentials wil vinden dan kan dat)

Op dit moment weten mensen met deze systemen dat ze vatbaar zijn, en dat hun leverancier onbetrouwbaar is. Daarnaast is dit dus een attack vector die direct gebruikt kan worden, wat management en IT afdelingen aanspoort om zelf actie te ondernemen, in plaats van achterover te leunen met het idee dat HP vast wel eens een keertje een fix stuurt, en ondertussen niemand kan inbreken, wat natuurlijk onzin is. Alles wat aan security problemen gemeld wordt is slechts het topje van de ijsberg. Malware pakketten worden niet voor niets te koop aangeboden; exploits etc. die ontdekt worden, worden meestal geheim gehouden en aan de hoogste bieder verkocht.

Dus, als je een lek vind, bijvoorbeeld fixed admin/root credentials voor bepaalde systemen, dan is de kans groot dat je niet de eerste bent, en dat er al veelvuldig misbruik van gemaakt is. Beter ga je het meteen melden en op een blog/site/feed posten, zodat de wereld weet hoe de stand van zaken is. Het is de enige manier (naast een directe patch van de leverancier -- waar ze altijd te laat mee komen) om hier mee om te gaan.
Dit baseer je op?
Of zijn het onderbuikgevoelens zonder enige logische vorm van onderbouwing en redenatie? ;)
een geheim account en een amerikaans bedrijf dat weigert hierop in te gaan.
lijkt mij genoeg om toch even wat lastige vragen te gaan stellen.

ik kan me voorstellen dat je als bedrijf niet vrolijk word als je zelf alles dichtgooit en accounts maakt met lange wachtwoorden om vervolgens een backdoor te hebben met het wachtwoord badg3r5. waarover je niet eens bent geÔnformeerd
dat wachtwoord is wel een van de slechtsten die ik deze week heb gezien.
Ik hoop toch echt dat jouw backup server niet direct aan het internet hangt, dus hoe moet PRISM hier bij komen dan?
De centrifuges van het Iraanse kernprogramma hingen ook niet aan het internet toch wisten de Amerikanen er bij te komen. De Amerikanen laten zich blijkbaar dus niet stoppen door het feit dat ze er via het internet niet direct bij kunnen.
Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden
En daar heeft hij dan ook bewijs van?
Hij heeft waarschijnlijk naar de HP helpdesk gebeld die is altijd in gesprek en toen kreeg hij uiteindelijk iemand aan de lijn maar die snapte zijn verhaal niet :+.
Maakt dat wat uit? Hij hoeft niks te bewijzen. HP heeft een fixed setje credentials in een product gestopt. Dat is een probleem van HP en de klanten van HP. Of de credentials nu beter bekend zijn dan eerst maakt geen drol uit.
Badgers... Dat doet de das om. O-) }>

Maar goed. Het is gewoon stom eigenlijk om dit soort achterdeuren te plaatsen.
Accounts zijn te achterhalen en PW's zijn te kraken.
Het zou goed kunnen dat een ontwikkelaar kwade bedoelingen had of dat het bedrijf zelf gehackt is waardoor iemand toegang had tot de code.

Ik hoop dat ze (en andere bedrijven) dit zien als een gevaar, en hun software beter laten reviewen.
Ik ontken hier niet dat het een grote blunder van HP is. Dit is niet acceptabel voor een enterprise product. Maar de reŽle impact van dit lek zal wel niet zo hoog zijn, aangezien backup servers in een goed ontworpen netwerk niet eens bereikbaar zouden moeten zijn.
De meeste misbruiken van beveiliginslekken komen van in de eigen organisatie. :)
Dat is waar, maar onder een goed ontworpen netwerk versta ik bijvoorbeeld een apart VLAN tussen de servers en het backupsysteem. Als iemand er dan nog steeds bij kan, dan heb je grotere problemen dan dit lek.
en hoe ga je dan de clients backuppen?

Ja, je hebt meestal een afzonderlijk netwerk voor de server backups, maar meestal heeft de backup server ook een poot in het "client" network om de laptops / pc's van de gebruikers te gaan backuppen
Clients behoren hun data niet lokaal op te slaan maar op de fileserver.
Normaal als je een ww. en een gebruikersnaam bij een post over hacken plaats in de reacties wordt het wegehaald door de moderators en niet op prijs gesteld. En nu knallen ze het gewoon direct in het bericht? 8)7

Een achterdeur komt vaker voor dan je denkt! volgens mij had Samsung op PLC ook vaak een backdoor
(...)de bijbehorende sha1-hash van het 'geheime' administrator-account op zijn website geplaatst. Inmiddels is de hash door anderen al gekraakt (...)
Het ziet ernaar uit dat er dus gebruik gemaakt is van distributed brute force attacks en/of rekenkracht van een cloud. Want er is nog geen SHA-1 collision bekend.
Er zullen wel een paar mensen een erg warme videokaart zitten en/of bij Amazon / Microsoft / Oracle is een wolkenpluim verdampt ;)

Sowieso het gebruik van SHA1 alleen al 7(8)7
Sedert in 2005 werd door beveiligingsonderzoekers al aangeven dat het SHA1-Algoritme kuren vertoont, waardoor het niet 100% betrouwbaar meer is.
Daarom wordt er al sinds een paar jaar iedereen op het hart gedrukt om varianten van SHA2 en de nieuwe SHA3 hash algoritmes te gebruiken.
(...)De gebruikersnaam is 'HPSupport' met als wachtwoord 'badg3r5'.(...)
*facepalm* Geen wonder dat het zo snel gekraakt is. 7 tekens maar als wachtwoord. Dat is een eitje met de clouds en videokaarten van tegenwoordig.

Overigs vind ik de houding van de beveiligingsonderzoeker onacceptabel. Hij had ook gewoon via de Zero Day Initiative druk op HP kunnen uit te oefenen om iets eraan te doen. Zoiets heet 'groepsleden controleren en corrigeren elkaar', anders kunnen ze net zo goed dat initiatief opdoeken.
Klassieke fout. Wachtwoord dat is afgeleid van een engels woord, met 1337-speak is het eerste dat gecheckt wordt. De hoeveelheid bits aan informatie is daarmee erg beperkt. Hashcat rekent dit in een fractie van een seconde door.
Fout. Dat hij het nu publiceert maakt het niet 'makkelijker' of 'problematischer'. Hij is ongetwijfeld niet de eerste, en er zal ongetwijfeld even veel misbruik van gemaakt worden als voor de melding. En het maakt ook niet zo veel uit hoeveel moeite hij heeft gedaan het bij HP te melden, want HP had die hele account er gewoon niet in moeten stoppen om mee te beginnen, en sowieso moeten aangeven dat deze account bestond.
Dit is toch algemeen bekend? Ik heb een HP medewerker dit meer dan eens zien gebruiken wanneer ze remote inloggen op een SAN. Uiteraard zagen we dan geen wachtwoord..
Ja, gelukkig is de backdoor bekend bij HP, want anders zaten we met een echt probleem. Ze hebben hem zelf ingebouwd.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013