Szerző: Gálffy Csaba

2018. január 16. 13:47

Ősi backdoort irtott ki a Lenovo

Belső biztonsági audit során bukkant egy 2004-es backdoorra a Lenovo biztonsági csapata. A backdoor az IBM RackSwitch és BladeCenter switcheken futó ENOS (Enterprise Network Operating System) szoftverében található.

Biztonsági problémát kapott örökbe az IBM-től a Lenovo - derült ki egy belső biztonsági ellenőrzésen. A gyártó által kiadott hivatalos értesítés szerint a számos hálózati egység, switch érintett, ezekben egy nagyon régen beépített (és jó eséllyel a feledés homályába veszett) backdoor érhető el. Az érintett termékek között a Lenovo Flex System Fabric, a Lenovo RackSwitch családok egyes tagjai illetve IBM-es márkával ugyanezek mellett a BladeSwitch és BladeCenter modellek találhatóak meg.

A szerény tapintattal csak "HP Backdoor" névre keresztelt biztonsági rést a Lenovo által végzett ellenőrzés derítette fel, és lehetővé teszi, hogy a normális beléptető mechanizmust megkerülve, telneten, ssh-n, a webes felületen vagy a soros konzolon keresztül hozzá lehessen férni a beállításokhoz (bizonyos körülmények együttállása esetén). A backdoor csak helyi hozzáféréssel érhető el a gyártó szerint, a belépéshez szükséges adatok pedig egyediek, így távolról, tömegesen nem támadhatóak az eszközök. Ezzel együtt súlyos problémáról van szó, a hozzáférés automatikusan a legmagasabb, adminisztrátori jogosultságot biztosít.

Ősi backdoor

A hozzáférési mechanizmus a Lenovo adatai szerint valamikor 2004-ben került az ENOS forráskódjába, ekkor a terméket még az azóta régen csődbe ment Nortel gyártotta, annak is a Blade Server Switch Business Unit egysége. A módosítást a rendelkezésre álló információk szerint a Nortel egy OEM partner kérésére építette be. És hogy került mindez a Lenovóhoz? A Nortel az üzletágat 2006-ban leválasztotta, ezt az IBM 2010-ben felvásárolta és az x86-os szerverekkel foglalkozó divízió részeként került a kínaiakhoz 2014-ben.

switch

Lenovo/IBM RackSwitch 8264 - frissítsük!

Miért nem beszélni AI tökéletesen magyart?

Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

"A bejelentkezést és hitelesítést megkerülő mechanizmusok létezése elfogadhatatlan a Lenovo számára és nem felel meg a Lenovo termékbiztonsági és iparági gyakorlatának. A mechanizmust a Lenovo eltávolította az ENOS forráskódjából és frissített firmware-t adott ki az érintett termékekhez" - mondja a cég. A CNOS-szal (Cloud Network Operating System) kiadott hardvereket nem kell frissíteni.

A műszaki részletekért és az egészen precízen körbeírt támadási vektorokhoz érdemes a gyártó által kiadott Security Advisory-t fellapozni.

Nagyon széles az a skála, amin a állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról

fab

5

Chipgyártó nagyhatalommá válna India

2024. március 18. 12:39

A helyi politikai vezetés szerint van rá esély, hogy a következő néhány évben az ország bekerüljön az öt vezető ország közé.