CERT Coordination Center (CERT/CC, Carnegie Mellon University)は6月21日(米国時間)、「VU#142546 - SMA Technologies OpCon UNIX agent adds the same SSH key to all installations」において、SMA TechnologiesのOpConにおけるUNIXエージェントに同じSSH鍵をインストールする脆弱性が存在すると伝えた。この脆弱性を悪用されると、秘密鍵を得た攻撃者によって影響を受けたシステムに対するrootアクセスが許可されてしまうと指摘されている。

  • VU#142546 - SMA Technologies OpCon UNIX agent adds the same SSH key to all installations

    VU#142546 - SMA Technologies OpCon UNIX agent adds the same SSH key to all installations

OpConのUNIXエージェントは、インストール時およびアップデート時にauthorized_keysファイルへrootアカウントの公開鍵を追加する。それと同時に、追加した公開鍵にひもづけられた秘密鍵ファイル「sma_id_rsa」のインストールも行われる。秘密鍵はパスフレーズによる暗号化も行われておらず、UNIXエージェントを削除しても追加した公開鍵はauthorized_keysから削除されないと説明されている。

このため、攻撃者がUNIXエージェントのインストールに含まれている秘密鍵を入手した場合、影響を受けたシステムに対してroot権限でのアクセスが可能になるとされている。

CERT Coordination Center (CERT/CC, Carnegie Mellon University)は、SMA Technologiesの提供しているツールを使った問題の修正、または、手動で該当するSSH鍵の削除を実施することを呼びかけている。開発者によると、現在公開されているOpConバージョン21.2のパッケージには鍵情報は含まれていないとのことだ。