Backdoor in HP MSA2000 Storage

[AndreasF]

Hi,

ich bin gerade im Netz über folgendes gestolpert. Ist vielleicht für den einen oder anderen der beruflich damit zu tun hat relevant. Oder es wird mal relevant wenn man in Zukunft sowas vom Schrott rettet. (Vorausgesetzt es wurde nicht behoben.)
In HP MSA2000 Storage Systemen ist wohl ein versteckter Benutzer angelegt, dessen Passwort sich nicht ändern lässt.
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
Ich finde das schon ziemlich krass. Und von einem großen Hersteller erwartet man im 21. Jahrhundert eigentlich anderes. Aber in der IT muß man eben mit allem rechnen.

[M.K.]

In HP MSA2000 Storage Systemen ist wohl ein versteckter Benutzer angelegt,

lass mich raten, "assange"?

(scnr)

[Tschokko]

In HP MSA2000 Storage Systemen ist wohl ein versteckter Benutzer angelegt, dessen Passwort sich nicht ändern lässt.
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
Ich finde das schon ziemlich krass. Und von einem großen Hersteller erwartet man im 21. Jahrhundert eigentlich anderes. Aber in der IT muß man eben mit allem rechnen.

Nun ja, ich weiß nicht was daran so krass sein soll? Ich bin ja fast froh drum das hier ein Standard User angeleget ist. Zum anderen reden wir hier von Management Schnittstellen und dafür legt man, wenn mans ordentlich macht, ein eigenes und abgesichertes Netzwerk an. Ergo wer soll da dann schon drauf kommen? Die Admins?

Weiterhin stellt sich die Frage was bringt einem dieser Account? Meiner Meinung nach nichts, denn die Daten auf den Volumes können deswegen auch nicht gelesen werden. Ein Angreifer kann "lediglich" Schaden anrichten...

Gruß
Tschokko

[AndreasF]

Wenn das nur übers Management Interface geht ist der Vektor kleiner, das stimmt.
Was einem der Account bringt weiß ich nicht. Ich kenne das System nicht. Aber im Zweifel ist Schaden anrichten ja schon genug. ;-) Was damit genau geht kann ja vielleicht jemand ausprobieren der so ein entsprechendes System hat.
Stuxnet greift halt auch auf hardgecodete Accounts zurück. Und geht über Netzwerke, die gesondert gesichert sein sollten...

[Fleedwood]

n genug. ;-) Was damit genau geht kann ja vielleicht jemand ausprobieren der so ein entsprechendes System hat.
Stuxnet greift halt auch auf hardgecodete Accounts zurück. Und geht über Netzwerke, die gesondert gesichert sein sollten...

exakt, insofern halte ich das Herunterspielen solcher Sicherheitslücken für sehr gefährlich. Der Einbrecher kommt
am leichtesten durch die Hintertür. Besser ists also defintiv auch da ne saubere Weste zu haben. Wenn ein Admin
auf die Kiste per Netz kommt, dann auch ein Einbrecher. Das ist ne Binsenweisheit.

Thomas.

[Django2]

Wenn  wir gerade bei dem thema Backdoor sind:
http://www.osnews.com/story/24136/_quot_FBI_Added_Secret_Backdoors_to_OpenBSD_IPSEC_quot_

[truerasp]

exakt, insofern halte ich das Herunterspielen solcher Sicherheitslücken für sehr gefährlich.

aber genau deswegen halte ich physikalisch getrennte managementnetzwerke fuer eine ausgesprochen feine sache. dummerweise ist der security level selten einem manager das geld wert

[Tschokko]

n genug. ;-) Was damit genau geht kann ja vielleicht jemand ausprobieren der so ein entsprechendes System hat.
Stuxnet greift halt auch auf hardgecodete Accounts zurück. Und geht über Netzwerke, die gesondert gesichert sein sollten...

exakt, insofern halte ich das Herunterspielen solcher Sicherheitslücken für sehr gefährlich. Der Einbrecher kommt
am leichtesten durch die Hintertür. Besser ists also defintiv auch da ne saubere Weste zu haben. Wenn ein Admin
auf die Kiste per Netz kommt, dann auch ein Einbrecher. Das ist ne Binsenweisheit.

Thomas.

Das Problem ist doch heutzutage das alles schnell schnell gehen muss und alle Management Interfaces mit tonnenweise Passwörter ausgestattet sind. Wie oft hat man dann das Problem das ein Admin nicht sauber dokumentiert hat und man nicht mehr auf die Management Schnittstelle kommt. Neee... da könnt ihr mich mal gern haben, da bin ich heilfroh das ich dann doch noch irgendwie auf die Systeme komme. Darum finde ich den begriff Backdoors total überzogen! Und noch reden wir hier von Management Schnittstellen, die in einem eigenständigen Netz laufen sollten und so oder so keinerlei Zugriff auf Daten ermöglicht! Gelangt der Angreifer tatsächlich in dieses Management Netzwerk, dann finde ich hat man so oder so schon etwas Grund verkehrt in seinem IT Sicherheitskonzept gemacht.

Gruß
Tschokko

[Tschokko]

exakt, insofern halte ich das Herunterspielen solcher Sicherheitslücken für sehr gefährlich.

aber genau deswegen halte ich physikalisch getrennte managementnetzwerke fuer eine ausgesprochen feine sache. dummerweise ist der security level selten einem manager das geld wert

Ein physikalisch getrenntes Netz halt ich auch für das Optimum! Aber in kleineren Umgebungen tuts auch schon ein eigenes VLAN welches mit ACLs und Firewall Regeln entsprechend abgeschottet ist. Besser als irgendein offenes Netz wo man ohne weiteres aus dem normalen LAN heraus zugreifen kann. Auf Arbeit hab ich beim großen Umbau in jedes Rack Patchpanels installiert und die Management Schnittstellen laufen alle auf einen eigenen Switch zusammen... noch hängt dieser Switch am Core und ist per VLAN und ACLs gesichert. Aber nächstes Jahr gibts nen kleinen Cisco Router und dann wird das Management LAN komplett zu gemacht. Danach ist der Zugang nur noch per VPN möglich. Was jucken mich dann noch solche "Backdoors" ?

Gruß
Tschokko

[Fleedwood]

exakt, insofern halte ich das Herunterspielen solcher Sicherheitslücken für sehr gefährlich.

aber genau deswegen halte ich physikalisch getrennte managementnetzwerke fuer eine ausgesprochen feine sache. dummerweise ist der security level selten einem manager das geld wert

dann dürfte aber auch der Admin PC nicht an ein anderes Netzwerk angeschlossen sein. Und das ist dann
schon recht selten... und so Dinger wie USB Sticks und andere Daten Medien draußen bleiben... Das ist
nicht durchhaltbar IMHO.

Thomas.

[truerasp]

dann dürfte aber auch der Admin PC nicht an ein anderes Netzwerk angeschlossen sein. Und das ist dann schon recht selten... und so Dinger wie USB Sticks und andere Daten Medien draußen bleiben... Das ist nicht durchhaltbar IMHO.

sehe ich nicht so. Ich kenne tatsaechlich kunden die das genau so machen. das ist halt ne frage wie gross der schmerz ist. konsequent ist dann sogar eine admin DMZ die das ganze wartbar haelt aber ueber eigene firewalls absichert.

der schluss waere dann eine access verwaltung die nur bei vorhandenem ticket / incident beim jeweiligen access request ein nur einmal gueltiges passwort erzeugt das dann ueber radius / tacacs den zugriff erlaubt. analog darf man mit seiner magnetkarte nur bei vorhandenem change das RZ ueberhaupt betreten.

der gipfel den ich persoenlich kenne ist dass einem dann auch noch ein jogi vom wachschutz auf schritt und tritt auf den fersen ist, damit man auch nur an die schraenke geht die auf die jeweiligen CIs im ticketsystem gebucht sind.


die frage ist doch wieviel security will ich und was ist diese mir wert.