Lenovo hat uralte Backdoor in seiner Netzwerk-Firmware gefunden

Gebäude, Haus, Alt, Tür Bildquelle: Public Domain
Bei Lenovo muss man wieder einmal daran arbeiten, Sicherheitsprobleme von hauseigener Software auszumerzen und die Kunden nicht weiter in Gefahr zu bringen. Externe Prüfer, die man mit einem Security-Audit beauftragt hatte, fanden Hintertüren in der Firmware von Netzwerk-Geräten, die der Computerkonzern verkauft. Betroffen von dem Problem sind die Produktlinien RackSwitch und BladeCenter. In diesen kommt das Enterprise Network Operating System (ENOS) zum Einsatz, das nicht von Lenovo selbst entwickelt wurde. Verantwortlich für die Backdoor, die immerhin schon seit dem Jahr 2004 bestehen soll, sei vielmehr eine Abteilung des Netzwerkausrüsters Nortel, der nach dem umfassendsten Insolvenzverfahren der Geschichte inzwischen mehr oder weniger komplett abgewickelt ist und somit zumindest nicht mehr zur Verantwortung gezogen werden kann.

Nortel hatte Blade Server Switch Business Unit (BSSBU), bei der die fragliche Software entwickelt wurde, im Jahr 2006 in die eigenständige Firma Blade Network Technologies (BNT) ausgegliedert. 2010 wurde diese dann von IBM übernommen und mit der Übernahme des IBM-Servergeschäfts durch Lenovo kam sie dann bei ihrem jetzigen Nutzer an. Die Backdoor blieb über die gesamte Zeit unentdeckt.


Patches sind schon verfügbar

In ihrem Bericht kamen die Prüfer offenbar zu dem Schluss, dass die Hintertür damals durchaus sehr bewusst eingebaut wurde - offenbar auf Wunsch eines Kunden. Allerdings wurde sie dann wohl vergessen und kam so auch in die ENOS-Entwicklungszweige, die allgemein in den Netzwerksystemen eingesetzt wurden.

In einer Stellungnahme erklärte Lenovo, dass eine solche Schwachstelle nicht akzeptabel sei. Mit Firmware-Updates, die bereits erhältlich sind, wird das Loch in der ENOS-Software geschlossen. Die Sicherheitslücke ermöglichte es, dass Angreifer die Authentifizierung verschiedener Zugriffs-Dienste wie SSH, Telnet, einem Web-Interface oder einem Terminal-Zugang übergehen konnten und Zugang zum jeweiligen System bekamen. Ohne genauere Kenntnisse der Funktionsweise sei die Backdoor aber nicht trivial auszunutzen gewesen, so dass bisher keine Angriffe auf diesem Weg bekannt geworden sind.
Gebäude, Haus, Alt, Tür Gebäude, Haus, Alt, Tür Public Domain
Mehr zum Thema: Lenovo
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Lenovos Aktienkurs

Lenovo Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Bis zu : VU+ Uno 4K DVB-C Linux KabelreceiverBis zu : VU+ Uno 4K DVB-C Linux Kabelreceiver
Original Amazon-Preis
229,00
Im Preisvergleich ab
219,84
Blitzangebot-Preis
189,99
Ersparnis zu Amazon 17% oder 39,01

Tipp einsenden