Een beveiligingsexpert die grote gaten heeft gevonden in routers van HP zou deze vandaag presenteren maar ziet daar op verzoek van HP van af. Het lek zou te gevaarlijk zijn om nu te openbaren.

Begin augustus gaf Kurt Grutzmacher een kwetsbaarheid in routers van HP door aan overheidsinstantie US-CERT. Hij ontdekte het lek niet lang nadat een soortgelijke softwarefout in routers van Huawei werd aangetoond. De beveiligingsdeskundige zou de lekken vandaag demonstreren tijdens beveiligingscongres ToorCon in San Diego. Maar HP heeft hem verzocht om de onthulling uit te stellen.
Druk op HP vergroten

De onderzoeker wijst erop dat het beleid is van US-CERT dat het lek 45 dagen nadat de dienst is ingelicht over een veiligheidslek openbaar gemaakt mag worden. Het buffer overflow-lek waardoor bedrijfsrouters van Huawei gevaarlijk makkelijk over te nemen zijn, doet zich in een andere vorm ook voor op routers van H3C/HP. Sinds juni, nog voordat het Huawei-lek werd onthuld op hackerscongres Defcon, startte Grutzmacher met het onderzoek naar de routers van HP.

HP is naast US-CERT ingelicht en wilde meer tijd van de beveiligingsdeskundige om onderzoek te doen naar het lek. Om de druk op HP te vergroten, schreef Grutzman zich alvast in voor een presentatie op ToorCon. Eerder deze week stuurde HP het verzoek om af te zien van de onthulling, omdat het lek te groot is om op tijd een patch voorhanden te hebben.
Geloof in Full Disclosure

De onderzoeker zegt te begrijpen dat zo'n onthulling schadelijk kan zijn en heeft naar eigen zeggen work-arounds waardoor het lek minder gevaarlijk is. "HP begrijpt de urgentie en weet dat ZDI, zijn eigen onthullingsgroep, een beleid heeft dat na 6 maanden lekken hoe dan ook openbaar worden gemaakt", schrijft hij op zijn blog.

"Ik geloof in Full and Responsible disclosure en daarom ben ik naar US-CERT gegaan. Maar deze informatie heeft serieuze gevolgen voor de hele industrie waar HP nog niet klaar voor is", aldus Grutzman. "Als je H3C- of Huawei-apparatuur hebt, weet je sinds Defcon dat je serieuze risico's loopt. Als je waarde hecht aan de veiligheid van je netwerk en data, zul je al stappen hebben genomen om deze te beschermen. Deze maatregelen zullen hoogstwaarschijnlijk helpen tegen deze kwetsbaarheid."

Hij wijst erop dat er andere hackers zijn die dezelfde kwetsbaarheden kunnen opsporen. Hij roept mensen op om dit lek bij ontdekking voor zich te houden.