Het bewuste lek in HP Data Protector is namelijk al meer dan een jaar geleden gedicht. Toch levert het nu alsnog problemen op. Het NCSC heeft meldingen ontvangen dat het oude lek momenteel wordt misbruikt in Nederland. Bedrijven en organisaties krijgen het dringende advies de patches voor de kwetsbare software te installeren om misbruik door hackers te voorkomen.

Gat stond lang open

Vóór installatie van deze patch kijkt HP Data Protector enkel naar bestanden en niet naar de inhoud ervan. Daardoor kan een aanvaller een malafide script opdienen aan de back-upsoftware waarna hij op afstand commando's kan uitvoeren op het gehackte systeem. Deze kwetsbaarheid is in februari 2011 aan het licht gekomen.

HP heeft twee maanden later een patch uitgebracht om dit gat in Data Protector te dichten. Het voormalige Govcert, dat later is opgegaan in het NCSC, heeft daar toen melding van gedaan. Het Zero Day Initiative van securitybedrijf Tipping Point heeft dit lek al in 2009 aangekaart bij HP. Pas nadat het lek in 2011 is geopenbaard, is het gat enkele maanden later gedicht. Tussendoor is Tipping Point opgekocht door HP, in april 2010.

Patches blijven komen

Maar ook na april vorig jaar zijn er nog patches gekomen voor verschillende lekken in het back-uppakket van HP. Onder meer het NCSC heeft een paar keer gewaarschuwd voor de gaten die daarmee zijn te dichten. Ondanks dat zijn er nu nog altijd systemen met ongepatchte Data Protector-installaties.

Vorig jaar was geen goed jaar voor HP qua beveiliging. Onderzoekers ontdekten diverse kwetsbaarheden in de software van het bedrijf. Daaronder gaten in de Operations Agent, waardoor hackers scripts konden draaien op servers met die HP-beheertool. Naast systemen met Unix-varianten waren ook Windows- en Linux-servers kwetsbaar door dit gat.