日前,据国外安全研究者发布文章称,在HP StoreOnce备份系统中,存在一个后门用户,通过SSH连接系统,输入用户名HPSupport以及预设的SHA1加密密码(78a7ecf065324604540ad3c41c3bb8fe1d084c50),登陆系统之后便是管理员权限,可以进行任意操作。
研究人员表示,发现的该款漏洞存在于StoreOnce高端产品中,该备份系统有12个1TB的硬盘(可用绒里那个为6TB),售价超过12000欧元,并且据惠普官方的说明,该产品的重复数据删除功能可减少数据备份的95%大小。
作者在文章中提到,惠普已经花了三个星期拖延而未修复该问题,他认为HP安全负责人与Zero Day Initiative (ZDI)合作,所以这种行为表示不能接受。但是另一方面,ZDI为供应商预留了60天来修复漏洞。