Ősi backdoort irtott ki a Lenovo
Belső biztonsági audit során bukkant egy 2004-es backdoorra a Lenovo biztonsági csapata. A backdoor az IBM RackSwitch és BladeCenter switcheken futó ENOS (Enterprise Network Operating System) szoftverében található.
Biztonsági problémát kapott örökbe az IBM-től a Lenovo - derült ki egy belső biztonsági ellenőrzésen. A gyártó által kiadott hivatalos értesítés szerint a számos hálózati egység, switch érintett, ezekben egy nagyon régen beépített (és jó eséllyel a feledés homályába veszett) backdoor érhető el. Az érintett termékek között a Lenovo Flex System Fabric, a Lenovo RackSwitch családok egyes tagjai illetve IBM-es márkával ugyanezek mellett a BladeSwitch és BladeCenter modellek találhatóak meg.
A szerény tapintattal csak "HP Backdoor" névre keresztelt biztonsági rést a Lenovo által végzett ellenőrzés derítette fel, és lehetővé teszi, hogy a normális beléptető mechanizmust megkerülve, telneten, ssh-n, a webes felületen vagy a soros konzolon keresztül hozzá lehessen férni a beállításokhoz (bizonyos körülmények együttállása esetén). A backdoor csak helyi hozzáféréssel érhető el a gyártó szerint, a belépéshez szükséges adatok pedig egyediek, így távolról, tömegesen nem támadhatóak az eszközök. Ezzel együtt súlyos problémáról van szó, a hozzáférés automatikusan a legmagasabb, adminisztrátori jogosultságot biztosít.
Ősi backdoor
A hozzáférési mechanizmus a Lenovo adatai szerint valamikor 2004-ben került az ENOS forráskódjába, ekkor a terméket még az azóta régen csődbe ment Nortel gyártotta, annak is a Blade Server Switch Business Unit egysége. A módosítást a rendelkezésre álló információk szerint a Nortel egy OEM partner kérésére építette be. És hogy került mindez a Lenovóhoz? A Nortel az üzletágat 2006-ban leválasztotta, ezt az IBM 2010-ben felvásárolta és az x86-os szerverekkel foglalkozó divízió részeként került a kínaiakhoz 2014-ben.
Lenovo/IBM RackSwitch 8264 - frissítsük!
Machine learning és Scrum alapozó képzéseket indítunk! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!
"A bejelentkezést és hitelesítést megkerülő mechanizmusok létezése elfogadhatatlan a Lenovo számára és nem felel meg a Lenovo termékbiztonsági és iparági gyakorlatának. A mechanizmust a Lenovo eltávolította az ENOS forráskódjából és frissített firmware-t adott ki az érintett termékekhez" - mondja a cég. A CNOS-szal (Cloud Network Operating System) kiadott hardvereket nem kell frissíteni.
A műszaki részletekért és az egészen precízen körbeírt támadási vektorokhoz érdemes a gyártó által kiadott Security Advisory-t fellapozni.
