Обнаружена неизменяемая учетная запись администратора в программном обеспечении HP StoreOnce SAN system.
В программном обеспечении HP StoreOnce SAN system обнаружена неизменяемая учетная запись администратора. Согласно заявлению эксперта Technion, в течение нескольких недель он пытался получить ответ от HP, однако никакой реакции на обнаруженную уязвимость с ее стороны не последовало, поэтому эксперт решил опубликовать информацию о бреши.
«Мои запросы на выпуск обновлений для ПО, которые я в течение трех недель отсылал компании, остались без ответа», - сообщил Technion. По словам эксперта, в процессе разработки продукта создается служебная административная учетная запись, потому что никто не хочет тратить время на восстановление пароля. Эта учетная запись так и остается в ПО, потому что зачастую ее попросту забывает удалить разработчик.
Это действительно выглядит, как досадная случайность: Technion не опубликовал пароль к неизменяемой административной учетной записи, а только хеш SHA-1, однако издание H Online заявило, что пароль состоит из семи символов и базируется на меме десятилетней давности. Из этого можно сделать вывод, что кто-то уже осуществил брутфорс.
Отметим, что ранее в StorageWorks P2000 G3 MSA компании НР также была обнаружена недокументированная учетная запись. Пароль администратора аккаунта мог быть изменен пользователем через интерфейс командной строки. Пока еще неизвестно, можно ли таким же образом получить пароль к учетной записи в StoreOnce.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале