JVNDB-2022-001956
|
SMA Technologies 製 OpCon の UNIX 向けエージェントにおける SSH 鍵生成の問題
|
|
SMA Technologies が提供する OpCon には、UNIX 向けエージェントにおいて、SSH 接続用の鍵生成に関する問題が存在します。
OpCon は SMA Technologies が提供する IT 管理システムです。OpCon の UNIX 向けエージェントでは、製品に共通の SSH 接続用鍵ペアが用いられており、その秘密鍵がインストールファイル内にハードコードされています。さらに、製品のインストールおよび更新時に、公開鍵が root ユーザの authorized_keys ファイルに追加されるため、インストールファイルから秘密鍵を入手した攻撃者は、他ユーザのシステムに SSH 接続することが可能になります。この問題には CVE-2022-2154 が採番されています。
|
|
|
|
|
SMA Technologies
|
|
|
秘密鍵を取得した攻撃者によって、本製品を使用しているシステムに root 権限で SSH 接続される可能性があります。
|
|
[修正ツールを適用する]
開発者は、システムから鍵情報を削除し、本問題を修正するためのツールを提供しています。開発者が提供する情報を確認の上、ツールを適用してください。
[ワークアラウンドを実施する]
開発者が提供しているツールを適用しない場合、root ユーザの authorized_keys ファイルから公開鍵のエントリ (下記を参照) を手動で削除してください。
* SHA256: qbgTVNkLGI5G7erZqDhte63Vpw+9g88jYCxMuh8cLeg
* MD5: f1:6c:c9:ba:21:66:ce:7c:5a:55:e2:4d:07:72:cc:31
なお、開発者によると、現在公開されている OpCon バージョン 21.2 のパッケージには鍵情報は含まれていないとのことです。
|
|
SMA Technologies
|
|
|
|
- CVE-2022-2154
|
|
- JVN : JVNVU#92741585
- National Vulnerability Database (NVD) : CVE-2022-2154
- US-CERT Vulnerability Note : VU#142546
|
|
|
