Wenn man einen Administrator-Account "admin" nennt, dann ist das nicht so wirklich innovativ. Aber wenn man dem Benutzer dann auch noch versteckt und das originelle Passwort "!admin" gibt, dann kann ich nur den Kopf schütteln. Aber schlimm ist, dass HP diesen Benutzer auf einer bestimmten SAN generell eingerichtet hat, überall mit dem gleichen trivialen Passwort. Cracker dieser Welt freut Euch, damit sind die Daten besonders leicht ausspähbar… Laut HP kann der Benutzer sich auch via telnet anmelden.

Das betroffene System ist seit zwei Jahren MSA 2000 im Handel und richtet sich an kleine und mittelständische Unternehmen. Also genau die Klientel, die vermutlich keinen hauptberuflichen Admin hat, um solche Probleme mal schnell zu fixen. Daher dürfte diese Lücke auch langfristig viel Potential zum Datenklau bieten…

Details bei SecurityWeek und Heise-Online.