Obie luki znajdują się w oprogramowaniu zapewniającym użytkownikom systemów pamięci masowych zdalne wsparcie techniczne. Gdy użytkownik zgłasza problem, informatyk HP używa domyślnej nazwy (HPSupport) i domyślnego hasła, logując się w ten sposób do systemu operacyjnego LeftHand zarządzającego systemem pamięci masowej. Znając te dwa domyślne parametry każdy (a więc i haker) może przejąć kontrolę nad urządzeniem.

Systemy StoreOnce D2D Backup, którymi zarządza oprogramowanie 3.0.0 (i nowsze wersje) nie zawierają luki. Do tych urządzeń nie można się już logować używając nazwy HPSupport i domyślnego hasła. Backdoor znajduje się natomiast w tych urządzeniach linii StoreOnce D2D Backup, które pracują pod kontrolą oprogramowania oznaczonego numerem 2.2.17 (i starsze wersje) oraz 1.2.17 (i starsze wersje).

Zobacz również:

• Cyberobrona? Mamy w planach
• HP – oferta wsparcia środowiska pracy w jednym miejscu

Użytkownicy powinni więc przejść albo od razu na wersję 3.0.0 albo wgrać nowsze wersje wadliwych programów 2.2.17 i 1.2.17 (oznaczone symbolami 2.2.18 i 1.2.18), które są już dostępne. I tu ważna uwaga - ponieważ oprogramowanie 3.0.0 pracuje zupełnie inaczej niż starsze wersje, decydując się na taki upgrade trzeba bezwzględnie wykonać najpierw pełny backup danych i dopiero wtedy przejść na wersję 3.0.0 (a następnie wykonać operację restore).

Jeśli chodzi o urządzenia StoreVirtual, backdoor znajduje się w oprogramowaniu LeftHand 10.5 (i we wszystkich wcześniejszych wersjach). Firma informuje, że kolejna wersja oprogramowania LeftHand (które zawierać będzie opcję pozwalającą użytkownikom deaktywować możliwość logowania się do urządzenia za pomocą domyślnych parametrów uwierzytelniania) pojawi się na jej witrynie 17-go lipca br.).