Anlaşılan sunuculara doğrudan erişen sadece hükümetler değil. İngiliz The Register sitesinin verdiği habere göre, Hewlett-Packard StoreVirtual ürünlerinde belgelerde geçmeyen bir yönetici hesabı olduğunu kabul etti ve bunu 17 temmuzda bir yama ile kapatacağı sözünü verdi. Üstelik bu HP depolama ürünlerinde 1 ay içinde ortaya çıkan ikinci “arka kapı (backdoor)” durumu.
2009’dan beri var olduğu raporlanan “arka kapı olayı”nı bulan ve The Register’a aktaran Technion isimli bir blogger. Bu blogger aynı zamanda HP’nin StoreOnce ürünlerinde de benzer bir arka kapı olduğunu haziran sonunda raporlamıştı[1]. Technion kamuya açıklamadan 1 hafta önce olayı HP’ye bildirdiğini ama bir geri dönüş alamadığını da söylemiş.
Kapının StoreVirtual sistemlere ve yazılıma root erişimi sağlayan gizli bir hesaptan ve LeftHand işletim sisteminin ayrı bir kopyasından oluştuğu belirtiliyor. LeftHand HP StoreVirtual ve HP P4000 makinalarında bulunuyor.
Technion’un çeşitli HP forumlarındaki notlarına göre de, şirketin LeftHand işletim sistemi olan StoreVirtual SAN ürünlerinde arka kapı bulunuyor. Şirket bunun sistemin en alt düzeyindeki LeftHand OS işletim sistemine destek amacıyla var olduğunu ve başka yere erişim sağlamadığını iddia ediyor. HP’nin bu konuda 9 temmuz salı günü yaptığı açıklama [1] şöyle :
Bu açık üzerinden, cihaza uzaktan yetkisiz erişim sağlanabilir.
Tüm HP StoreVirtual Storage sistemleri, müşteri tarafından erişim ve izin verilmişse, HP destek’in erişimi için kullanılabilen bir mekanizmaya sahiptir ve bu mekanizmayı devre dışarı bırakmak bugün için mümkün değildir.
HP, bu güvenlik açığı kabul etti ve müşteriler 17 Temmuz 2013 tarihine kadar destek erişim mekanizmasını devre dışı sağlayacak bir yama sağlayacaktır.
HP, LeftHand işletim sistemi olan makinalarda var olan bu arka kapı ile root’a erişimin sistemde depolanan kullanıcı bilgilerine erişim anlamına gelmediği şeklinde bir tanımlama yapıyor ama bu durum arka kapının üretimi ile ilgili bir sınırlama değil. Sadece HP’nin kendi “müşteri hizmetleri kuralları”na göre verilen bir sınırlama. Yani bu sınırlamaya uymak istemeyen olursa, kapı orada açık bekliyor.
Zaten yine The Register’a bakılırsa, 50 TB veriye sahip bir müşteri bu kapıyı kullanarak bir küme içindeki node’lara ulaştı. Yani isteseydi kullanabilirdi de.
Konuyla ilgili bilgilere bakıldığında, hesabın ayrıca fabrika-reset kontrolüne de sahip olduğu yani arka kapıdan girenlerin HP depolama ürünlerindeki tüm verileri ve konfigürasyon tanımlamalarını silebildiği belirtiliyor. Bunu da Technion şu şekilde tarif ediyor.
‘Open up your favourite SSH client, key in the IP of an HP D2D unit. Enter in yourself the username HPSupport, and the password which has a SHA1 of 78a7ecf065324604540ad3c41c3bb8fe1d084c50. Say hello to an administrative account you didn’t know existed,’
Ayrıca destek amacıyla bile olsa, bu arka kapının müşterilere önceden bildirilmemiş oluşu da bir hayli soru işareti. Hele ki bilgi işlem sistemlerine sızmaya meraklı bu kadar büyük bir hacker grubunun olduğu günümüzde.
[1] HP StoreOnce Yedekleme Yazılımında Ciddi Bir Güvenlik Açığı Bulundu
[2] HP Security Bulletin HPSBST02896 ≈ Packet Storm
Kaynak : 