HP’nin veri yedekleme sistemi StoreOnce SAN sisteminde ciddi bir güvenlik açığı bulundu. Söz konusu açığın, tedarikçilerin işini kolaylaştırmak için sisteme eklenen bir yönetici hesabı nedeniyle kaynaklanan bir arka kapı açığı olduğu söyleniyor. İddialara göre HP bu arka kapıyı kendisi oluşturmasına karşın, ürünü piyasaya süremeden önce arka kapı erişimini silmeyi unutmuş. Kaset sistemlerinde değil disk sistemlerinde etkili olan açığın giderildiğine dair herhangi bir açıklama yapılmaması da dikkat çekici.
Bir güvenlik forumunda yer alan iddialara göre açığı tespit eden yazılım geliştirme uzmanı, önce durumu HP’ye bildirmeye çalışmış. Ancak 3 hafta boyunca HP yetkililerinden tatminkar bir yanıt alamayan yazılım geliştirici, söz konusu açığı kamuoyuyla paylaşmaya karar vermiş. Söz konusu yazılımcı, bu açıktan yaralanmak için yapılması gereken tek şeyin bir SSH istemcisinde HP D2D birimine giriş yapmak olduğunu söylüyor. Yazılımcı, karşınıza çıkan ekrana HPSupport kullanıcı adı girildiğinde ve SHA1 şifreleme kodunu verdiği [1], şifre girildiğinde bir anda yönetici yetkisi alınabildiğini söylemekte. Verilen SHA1 kodlu şifre, rahatlıkla kırılabiliyor.
HP yetkilileri konuyla ilgili henüz bir açıklama yapmadılar. Ancak söz konusu “arka kapı” vakasının 2010 yılında tüm HP StorageWorks P2000 G3 MSA Array Sistemlerini etkilemiş olması, HP’nin hatalarından ders çıkartmadığı şeklinde yorumlanıyor. Uzmanlar, büyük ihtimalle HP’nin ürün geliştirme aşamasında şifre geri alma süreçlerini kolaylaştırmak adına böyle bir arka kapı geliştirdiklerini ancak daha sonra bunu unutarak ürün satışlarına başladıklarını öngörmekteler. HP’nin bu açığı gidermek için acilen bir yama hazırlaması gerektiği söyleniyor. g
Kaynak : 