Beveiligingslek in de vorm van achterdeuraccount gevonden in backupservers HP

Enkele backupsystemen van HP bevatten een backdoor in de vorm van een geheim administrator-account, zo ontdekte een beveiligingsonderzoeker. Kwaadwillenden kunnen hiermee toegang tot deze systemen krijgen.

Het betreft de D2D- en StorOnce-backupsystemen van HP. In de documentatie zou niet worden gesproken over een dergelijk account. De beveiligingsonderzoeker Technion heeft de gebruikersnaam en de bijbehorende sha1-hash van het 'geheime' administrator-account op zijn website geplaatst. Inmiddels is de hash door anderen al gekraakt en is het wachtwoord dus openbaar. De gebruikersnaam is 'HPSupport' met als wachtwoord 'badg3r5'.

Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden bij HP zodat het bedrijf er iets aan kon doen, maar tevergeefs. Hij noemt het gedrag van HP onacceptabel, aangezien HP achter het zogenoemde Zero Day Initiative zit. Het ZDI is een programma dat beloningen geeft voor het melden van kwetsbaarheden en belooft te helpen om kwetsbaarheden op te lossen. Ook zegt ZDI dat het kwetsbaarheden die zijn gemeld 'niet onder het tapijt zal vegen'.

In 2010 werd ook al een backdoor aangetroffen in een san-systeem van HP. Het betrof toen de StorageWorks P2000 G3 waar een geheim account aanwezig was. De username en password waren overigens bijzonder simpel; 'admin' en '!admin'. HP bracht toen een fix uit zodat het wachtwoord veranderd kon worden via een commandline-interface.

IT-banen

Reacties (48)

TheBigB86 25 juni 2013 19:15

Ik ontken hier niet dat het een grote blunder van HP is. Dit is niet acceptabel voor een enterprise product. Maar de reële impact van dit lek zal wel niet zo hoog zijn, aangezien backup servers in een goed ontworpen netwerk niet eens bereikbaar zouden moeten zijn.

Pimmeh

@TheBigB86 • 25 juni 2013 19:21

De meeste misbruiken van beveiliginslekken komen van in de eigen organisatie.

TheBigB86 @Pimmeh • 25 juni 2013 20:46

Dat is waar, maar onder een goed ontworpen netwerk versta ik bijvoorbeeld een apart VLAN tussen de servers en het backupsysteem. Als iemand er dan nog steeds bij kan, dan heb je grotere problemen dan dit lek.

fdh @TheBigB86 • 25 juni 2013 23:00

en hoe ga je dan de clients backuppen?

Ja, je hebt meestal een afzonderlijk netwerk voor de server backups, maar meestal heeft de backup server ook een poot in het "client" network om de laptops / pc's van de gebruikers te gaan backuppen

idef1x @fdh • 25 juni 2013 23:22

Clients behoren hun data niet lokaal op te slaan maar op de fileserver.

RoestVrijStaal 25 juni 2013 20:03

(...)de bijbehorende sha1-hash van het 'geheime' administrator-account op zijn website geplaatst. Inmiddels is de hash door anderen al gekraakt (...)

Het ziet ernaar uit dat er dus gebruik gemaakt is van distributed brute force attacks en/of rekenkracht van een cloud. Want er is nog geen SHA-1 collision bekend.
Er zullen wel een paar mensen een erg warme videokaart zitten en/of bij Amazon / Microsoft / Oracle is een wolkenpluim verdampt

Sowieso het gebruik van SHA1 alleen al

Sedert in 2005 werd door beveiligingsonderzoekers al aangeven dat het SHA1-Algoritme kuren vertoont, waardoor het niet 100% betrouwbaar meer is.
Daarom wordt er al sinds een paar jaar iedereen op het hart gedrukt om varianten van SHA2 en de nieuwe SHA3 hash algoritmes te gebruiken.

(...)De gebruikersnaam is 'HPSupport' met als wachtwoord 'badg3r5'.(...)

*facepalm* Geen wonder dat het zo snel gekraakt is. 7 tekens maar als wachtwoord. Dat is een eitje met de clouds en videokaarten van tegenwoordig.

Overigs vind ik de houding van de beveiligingsonderzoeker onacceptabel. Hij had ook gewoon via de Zero Day Initiative druk op HP kunnen uit te oefenen om iets eraan te doen. Zoiets heet 'groepsleden controleren en corrigeren elkaar', anders kunnen ze net zo goed dat initiatief opdoeken.

__fred__ @RoestVrijStaal • 25 juni 2013 21:50

Klassieke fout. Wachtwoord dat is afgeleid van een engels woord, met 1337-speak is het eerste dat gecheckt wordt. De hoeveelheid bits aan informatie is daarmee erg beperkt. Hashcat rekent dit in een fractie van een seconde door.

johnkeates @RoestVrijStaal • 26 juni 2013 01:25

Fout. Dat hij het nu publiceert maakt het niet 'makkelijker' of 'problematischer'. Hij is ongetwijfeld niet de eerste, en er zal ongetwijfeld even veel misbruik van gemaakt worden als voor de melding. En het maakt ook niet zo veel uit hoeveel moeite hij heeft gedaan het bij HP te melden, want HP had die hele account er gewoon niet in moeten stoppen om mee te beginnen, en sowieso moeten aangeven dat deze account bestond.

Hennie-M

25 juni 2013 22:28

maar als je je netwerk toch een beetje fatsoenlijk gaat bedenken knoop je toch je management interface van je san, je iLO bordjes en je netwerk servicepoortjes toch ook niet aan het user lan?

Je file, database en je virtualisatie servers knoop je via het iscsi of nfs lan naar je luns en via het os kunnen je gebruikers bij je storage.

Of zeg ik nu iets heel doms?
Edit: wat ik wil zeggen is, dit is toch niets spannends? Dit is toch niets nieuws voor een beetje doorgewinterde beheerder? Ik blijf me verbazen over hoe overschat enterprise ict altijd is. (en dat is een mooi iets, vooral voor mijn salaris)

[Reactie gewijzigd door Hennie-M op 23 juli 2024 11:56]

Jormungandr 25 juni 2013 22:46

Grappig hoor, al die verontwaardiging. Natuurlijk heeft elke producent een account die de klant best niet weet. Veel apparaten hebben zo'n manufacturer only account voor advanced troubleshooting ed. Best handig als een of andere lepe gebruiker het paswoord van zijn appliance vergeet (niet lachen, gebeurt echt, en vaker dan je denkt).

Wat wel fout is, is dat het oa geen service port heeft (cfr service nic op de EMC Clariion/VNX), dat het een belachelijk kort paswoord is en dat het SHA1 is. Owja, en het feit dat HP de reikende hand van de vinder negeert.

Dat terzijde, niet eens schokkend nieuws.

johnkeates 26 juni 2013 01:30

Zo heel schokkend is dit toch helemaal niet. Je weet van tevoren al dat je bij dit soort black box producten nooit zeker weet of, en hoe veilig ze zijn. Daarnaast is het voor een bedrijf als HP veel winstgevender als support personeel even makkelijk kan inloggen, dan kunnen de servicekosten laag blijven en kunnen ze makkelijk cashen.

Wat het voor de klant betekent is dat ze wel gecertificeerde producten aan zitten te schaffen, om dat dat moet van hogerop, maar dat het aan het eind van de rit niet echt iets 'beters' oplevert dan iets wat je wel compleet kan doorgronden/beheren. De luiheid en het ongegronde vertrouwen van third party tunkey systemen is voor de veiligheid van je data en systemen gewoon funest. Dit soort dingen zal je altijd hebben. Totdat je een screening van de sourcecode eist van alles wat je aanschaft, en dat dan dus ook voor elkaar krijgt bij je leverancier. Kost je een bak geld, en waarschijnlijk worden er dingen gevonden die je niet op kan lossen, maar een echt veilige andere manier is er gewoon niet.

In de business wereld is vertrouwen leuk, maar controleren leuker, maar blijkbaar is geld het allerleukste, want daar worden de beslissingen natuurlijk op gemaakt, en dan is het veel makkelijker om gewoon te hopen dat het wel goed zit

zalazar 25 juni 2013 18:22

Ontzettend jammer dat deze persoon hier zo mee om gaat.
Een echte beveiligingsonderzoeker zou dit ook niet op deze manier horen te doen naar mijn mening.

The Reeferman @zalazar • 25 juni 2013 18:25

Het is jammer dat HP er zo mee om gaan. Gewoon negeren. Deze man meld het zodat er iets aan gedaan kan worden. Niemand weet hoeveel andere dit ook al hebben uitgevonden en er volle bak misbruik van maken. En het nooit zullen melden.

dasiro @The Reeferman • 25 juni 2013 18:59

support accounts zijn in bepaalde gevallen nodig, want moest het volledig dichtgetimmerd zijn, dan kan je je materiaal op het stort gooien in de shredder dumpen, omdat het dan nutteloos is geworden

__fred__ @dasiro • 25 juni 2013 19:30

Maar in een product van een ton, ga je dan geen SHA1 gebruiken. Je gebruikt een veiliger algoritme, of nog beter certificate based authentication met een voldoende lange key... Bovendien provision je je product, zodat elke installatie zijn eigen certificaten heeft. Dit is echt het niveau: Ow ja we hebben een admin account nodig, laten we het er ff in prutsen, we doen het later wel een keer goed...

Verwijderd @__fred__ • 26 juni 2013 06:22

Welk hashing-algoritme je gebruikt is minder boeiend dan welk wachtwoord je gebruikt. Focus even op het echte probleem, dat is een eenvoudig wachtwoord dat met weinig moeite gebruteforced kon worden, ongeacht het gebruikte hashing-algoritme.

MadEgg @dasiro • 25 juni 2013 19:25

En zo hoort het ook. Het is je eigen verantwoordelijkheid om de credentials van je eigen apparatuur te bewaken. Mocht je die kwijtraken dan is dat dus je eigen stomme schuld. En absoluut geen reden om backdoors / geheime accounts op dergelijke apparatuur te plaatsen.

Het zou toch wat zijn als bij een bankkluis er stiekem nog een klein simpel sleuteltje is waarmee je de kluis ook open kunt maken, terwijl dat bij de bank niet eens bekend is.

Soldaatje @MadEgg • 25 juni 2013 19:32

Daar heb je gelijk in maar wat is er mis met een hardware reset jumper?
Niet voor encrypted data maar om opnieuw in te kunnen stellen.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 11:56]

]Byte[ @The Reeferman • 26 juni 2013 09:08

Helemaal mee eens.
Er zijn meer producten met dergelijke 'achterdeuren'.
Formeel onder het motto van "voor support doeleinden".

Tja.... Ik zeg altijd maar zo:
Je kan een honkbalknuppel volledig legitiem gebruiken op het veld om honkbal mee te spelen. Je kan 'm echter ook gebruiken om iemand z'n schedel mee in te slaan...

Wat mij jeukt is de stilte rondom dergelijke accounts!
Dat wekt bij mij een argwaan op die het vertrouwen in het product geen goed doen.
De reactie van dasiro

kan je je materiaal op het stort gooien in de shredder dumpen

is ook een totaal NON-argument!
IK ben verantwoordelijk voor mijn storage-omgeving!
Als ik besluit dat dicht te timmeren, en ga vervolgens slecht om met beveiligingsprocedures, dan heb IK een probleem.

btw... De hardware is vervolgens niet tot schrot te waarderen... Je kan altijd weer naar factory-default firmware gaan! (hopelijk heb je wel een goede config-backup... Maar ook dat moet je in je procedures goed borgen)

[Reactie gewijzigd door ]Byte[ op 23 juli 2024 11:56]

Verwijderd @The Reeferman • 26 juni 2013 09:46

Het is jammer dat HP er zo mee om gaan.

Het is moellijk om te bepalen hoe HP werkelijk omgaat met security meldingen gebaseerd op het blogje van deze persoon.

Als zijn blogpost een voorbeeld is van hoe hij communiceert en hij dus ook zo communiceert richting HP dan verbaast het mj niet dat de communicatie moeilijk verloopt.

Sorcerer8472 @zalazar • 25 juni 2013 19:31

Ik ben het met je eens en snap niet dat je -1 wordt gemod. Er zijn ook manieren om het aan de grote klok te hangen zonder gelijk die wachtwoorden de wijde wereld in te smijten. Dit is bijzonder vervelend voor mensen die deze systemen beheren en ze nu helemaal dicht zullen moeten gooien om misbruik door gelegenheidsscriptkiddies te voorkomen

johnkeates @Sorcerer8472 • 26 juni 2013 01:22

Fout. Dat hij het toevallig komt melden maakt nog niet dat niemand anders het al wist en actief misbruikte. En als iemand *iets* meld, dan kan je er van uit gaan dat het vrij eenvoudig is om de complete credentials te achterhalen. Even een software of firmware update van HP downloaden, met strings er doorheen zeven en bam, je hebt wat je nodig hebt. (Of je moet het eerst unpacken, of je moet een Flash/ROM dump analyseren, maar hoe dan ook, als je credentials wil vinden dan kan dat)

Op dit moment weten mensen met deze systemen dat ze vatbaar zijn, en dat hun leverancier onbetrouwbaar is. Daarnaast is dit dus een attack vector die direct gebruikt kan worden, wat management en IT afdelingen aanspoort om zelf actie te ondernemen, in plaats van achterover te leunen met het idee dat HP vast wel eens een keertje een fix stuurt, en ondertussen niemand kan inbreken, wat natuurlijk onzin is. Alles wat aan security problemen gemeld wordt is slechts het topje van de ijsberg. Malware pakketten worden niet voor niets te koop aangeboden; exploits etc. die ontdekt worden, worden meestal geheim gehouden en aan de hoogste bieder verkocht.

Dus, als je een lek vind, bijvoorbeeld fixed admin/root credentials voor bepaalde systemen, dan is de kans groot dat je niet de eerste bent, en dat er al veelvuldig misbruik van gemaakt is. Beter ga je het meteen melden en op een blog/site/feed posten, zodat de wereld weet hoe de stand van zaken is. Het is de enige manier (naast een directe patch van de leverancier -- waar ze altijd te laat mee komen) om hier mee om te gaan.

Verwijderd @zalazar • 25 juni 2013 18:26

Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden bij HP (...)

Hij heeft zijn best gedaan. Evengoed had hij 'de wereld' alleen maar hoeven te vertellen dat het account bestaat, met eventueel de naam erbij. Maar zonder zelfs maar de hint van het wachtwoord.

Edoras @Verwijderd • 25 juni 2013 19:17

Eindelijk some common sense.. al die reacties dat ze het verdiend hadden... er zijn betere manieren zoals adq aandraagt. Wat hij nu doet is natuurlijk goedkoop scoren, terwijl hij doet alsof hij een held is door het wachtwoord gehasht online te zetten. Nee, dat gaan mensen echt niet kraken, en: ja maar ik zette toch niet zomaar het wachtwoord online?

johnkeates @Edoras • 26 juni 2013 01:17

Alsof dat wat uit maakt. Op het moment dat het bekend is dat er uberhaupt een fixed admin account in een stuk software is kan je er van uit gaan dat iemand in no-time de credentials boven water krijgt. Het maakt echt niks uit hoe volledig het gepubliceerd wordt.

Scenario 1: hij meld het niet, HP fixt het niet, maar hackers en crackers abusen het.

Scenario 2: hij meld het, maar met weinig gegevens, hackers en crackers abusen het.

Scenario 3: hij meld het aan HP, HP fixt het, probleem opgelost, hij krijgt de credits.

Dat zijn ongeveer je keuzes. Er is geen enkele situatie waarbij HP het niet op lost en het niet misbruikt wordt. Als 1 persoon het weet of er achter komt kan iemand anders dat net zo goed. Alleen een fix van HP is een oplossing. Dus dat hij alles publiceert is JUIST een goed idee. Dan kunnen mensen die dat systeem gebruiken testen of ze vatbaar zijn, en dan wordt de druk op HP opgeschroefd en doen ze er misschien opeens wel wat aan.

Kalief @zalazar • 25 juni 2013 18:27

Dit is geen gewoon lek maar een achterdeur die HP bewust heeft ingebouwd. Dan mag HP best aan de schandpaal worden genageld.

sypie @Kalief • 25 juni 2013 18:31

Makkelijker binnenkomen voor de NSA en consorten, zo hoeven ze niet in te breken maar kunnen ze gewoon inloggen.

Zou er ook een "homecalling" functie op zitten om het nog makkelijker te maken voor HP?

alt-92 @sypie • 26 juni 2013 08:42

Ja, de link 'contact support' in de webinterface.

Overigens is een achterdeur niet uniek, de gemiddelde NAS waar menig tweaker zo dol op is hebben dat ook.
En als je je NAS gebricked hebt hoor je niemand klagen

Verwijderd @Kalief • 25 juni 2013 19:23

Maar je mag als nieuws site toch wel even HP om commentaar vragen? Is dat gedaan of is dit gewoon overgenomen van andere nieuws sites die die kleine moeite ook niet gedaan hebben?

Kalief @Verwijderd • 28 juni 2013 21:50

Op wie reageer je nu? Of plaats je je reactie gewoon op een willekeurige plaats in de draad?

SinergyX 25 juni 2013 18:32

Technion zegt dat hij drie weken lang heeft geprobeerd de kwetsbaarheid te melden

En daar heeft hij dan ook bewijs van?

johnkeates @SinergyX • 26 juni 2013 01:23

Maakt dat wat uit? Hij hoeft niks te bewijzen. HP heeft een fixed setje credentials in een product gestopt. Dat is een probleem van HP en de klanten van HP. Of de credentials nu beter bekend zijn dan eerst maakt geen drol uit.

Verwijderd @SinergyX • 25 juni 2013 18:36

Hij heeft waarschijnlijk naar de HP helpdesk gebeld die is altijd in gesprek en toen kreeg hij uiteindelijk iemand aan de lijn maar die snapte zijn verhaal niet

useruser 25 juni 2013 21:32

Dit is toch algemeen bekend? Ik heb een HP medewerker dit meer dan eens zien gebruiken wanneer ze remote inloggen op een SAN. Uiteraard zagen we dan geen wachtwoord..

biglia @useruser • 25 juni 2013 21:59

Ja, gelukkig is de backdoor bekend bij HP, want anders zaten we met een echt probleem. Ze hebben hem zelf ingebouwd.

BasieP 25 juni 2013 19:03

Het zou goed kunnen dat een ontwikkelaar kwade bedoelingen had of dat het bedrijf zelf gehackt is waardoor iemand toegang had tot de code.

Ik hoop dat ze (en andere bedrijven) dit zien als een gevaar, en hun software beter laten reviewen.

rob12424 25 juni 2013 19:24

Normaal als je een ww. en een gebruikersnaam bij een post over hacken plaats in de reacties wordt het wegehaald door de moderators en niet op prijs gesteld. En nu knallen ze het gewoon direct in het bericht?

Een achterdeur komt vaker voor dan je denkt! volgens mij had Samsung op PLC ook vaak een backdoor

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: