C’è una backdoor nei StoreVirtual di HP. La società ha ammesso la presenza di una falla in alcuni dispositivi di storage aziendale, sfruttando la quale è possibile accedere con diritti di alto livello ai prodotti della serie StoreVirtual; Hewlett-Packard ha anche comunicato l’arrivo di una patch, promettendo che questa sarà disponibile entro il 17 luglio.
La backdoor nei StoreVirtual di HP sembra sia presente su questi dispositivi sin dal 2009 ed è stato evidenziato da The Register il quale ha riportato a sua volta quanto pubblicato da un blogger che per primo ha reso nota la presenza della backdoor in questi prodotti. Non è chiaro quali siano le credenziali usate ma username e password per attivare la backdoor non sono quelle tipicamente usate per default nei dispositivi di questo genere.
HP ha pubblicato un documento di supporto, evidenziando la vulnerabilità che permetterebbe a utenti non autorizzati di accedere anche in remoto di accedere ai dispositivi. A detta di HP l’accesso come root al LeftHand OS non permette l’accesso ai dati memorizzati nel sistema; tuttavia è stato mostrata la possibilità di riavviare i nodi in un cluster e rendere inefficiente il sistema (la maggior parte degli ambienti server virtualizzati richiedono storage condiviso per garantire alta disponibilità, anche ai dati delle applicazioni; le soluzioni di storage dovrebbero essere disponibili almeno quanto le VM).
