Inicio / Alerta Temprana / Avisos Seguridad / Acceso remoto no autorizado en HP StoreVirtual Storage

Acceso remoto no autorizado en HP StoreVirtual Storage

Fecha de publicación: 
18/07/2013
Importancia: 
4 - Alta
Recursos afectados: 

Versiones de LeftHand OS (también conocido como SAN iQ) 10.5 y anteriores.

Descripción: 

Una posible vulnerabilidad de seguridad se ha identificado en el HP StoreVirtual Storage. Esta vulnerabilidad puede ser explotada remotamente para obtener acceso no autorizado al dispositivo.

Solución: 

Visite el boletín de seguridad de HP para descargar los parches correspondientes.

Detalle: 

Todos los sistemas HP StoreVirtual Storage están equipados con un mecanismo que permite al soporte de HP acceder al sistema operativo subyacente si el permiso y el acceso es proporcionado por el cliente. Esta funcionalidad no puede desactivarse en la actualidad.

Los productos HP StoreVirtual son dispositivos de almacenamiento que utilizan un sistema operativo personalizado, LeftHand OS, el cual no es accesible directamente por el usuario final. El acceso está limitado a través de la interfaz de línea de comandos StoreVirtual HP (CLiQ); sin embargo, el acceso a root está bloqueado.

El acceso a root puede solicitarse por el servicio de asistencia de HP en algunos casos para ayudar a los clientes a resolver problemas de soporte complejos. Para estos casos, un password de un solo uso, basado en desafío-respuesta, es utilizado por HP Support para obtener acceso como root al sistema siempre y cuando el usuario haya concedido los permisos correspondientes al mismo. La utilidad one-time password protege el acceso a root mediante la prevención del acceso repetido al sistema con la misma frase de paso (pass phrase). El acceso de root para LeftHand OS no proporciona acceso a los datos del usuario almacenados en el sistema.

Una posible vulnerabilidad de seguridad podría ser explotada remotamente para obtener acceso no autorizado al dispositivo.