Np seu post onde divulga a vulnerabilidade, Technion reclama que a HP gastou três semanas enrolando-o, ao invés de fazer algo sobre essa vulnerabilidade. Ele disse que, como a HP é responsável pele vulnerabilidade na Zero Day Initiative (ZDI), seu comportamento atual é inaceitável. Entretanto, o ZDI disponibiliza aos fornecedores um prazo de 60 dias para resolver a vulnerabilidade.
Um tempero extra foi dado a essa descoberta, pela decisão de Technion para a publicação do respectivo hash SHA1 da senha, que permite acesso a conta administrativa escondida. Vale ressaltar que os hashes podem ser quebrados com força bruta para a obtenção da senha correspondente. Isso significa que não vai levar muito tempo até que alguém consiga descriptografar essa string e ataques comecem a se espalhar pela Internet. Outra dica é que a senha-padrão dessa backdoor possui apenas 7 caracteres e tem como referência um meme de 10 anos atrás.
Technion considera que a vulnerabilidade de segurança no StoreOnce é imperdoável, especialmente dado que a HP já havia tido um problema de vulnerabilidade de segurança idêntico em Dezembro do ano de 2010, quando foi revelado que existia um serviço escondido em sua solução de armazenamento de rede chamada StorageWorks P2000 G3. Neste caso anterior, pelo menos, era possível alterar a senha padrão para evitar ataques, mas no caso atual ainda não foram obtidas muitas informações úteis que possam ajudar a prevenir problemas relacionados com a segurança.
Saiba Mais:
- Heise Online: Backdoor in HP backup servers (em Inglês)