公開日:2022/06/22 最終更新日:2022/06/22

JVNVU#92741585
SMA Technologies製OpConのUNIX向けエージェントにおけるSSH鍵生成の問題

概要

SMA Technologiesが提供するOpConには、UNIX向けエージェントにおいて、SSH接続用の鍵生成に関する問題が存在します。

影響を受けるシステム

  • OpCon バージョン 21.2 およびそれ以前

詳細情報

OpConはSMA Technologiesが提供するIT管理システムです。OpConのUNIX向けエージェントでは、製品に共通のSSH接続用鍵ペアが用いられており、その秘密鍵がインストールファイル内にハードコードされています。さらに、製品のインストールおよび更新時に、公開鍵がrootユーザのauthorized_keysファイルに追加されるため、インストールファイルから秘密鍵を入手した攻撃者は、他ユーザのシステムにSSH接続することが可能になります。この問題にはCVE-2022-2154が採番されています。

想定される影響

秘密鍵を取得した攻撃者によって、本製品を使用しているシステムにroot権限でSSH接続される可能性があります。

対策方法

修正ツールを適用する
開発者は、システムから鍵情報を削除し、本問題を修正するためのツールを提供しています。開発者が提供する情報を確認の上、ツールを適用してください。

ワークアラウンドを実施する
開発者が提供しているツールを適用しない場合、rootユーザのauthorized_keysファイルから公開鍵のエントリ(下記を参照)を手動で削除してください。

  • SHA256: qbgTVNkLGI5G7erZqDhte63Vpw+9g88jYCxMuh8cLeg
  • MD5: f1:6c:c9:ba:21:66:ce:7c:5a:55:e2:4d:07:72:cc:31

なお、開発者によると、現在公開されているOpConバージョン21.2のパッケージには鍵情報は含まれていないとのことです。

ベンダ情報

ベンダ リンク
SMA Technologies SMAUnixLSAMVulnerabilityFix

参考情報

  1. CERT/CC Vulnerability Note VU#142546
    SMA Technologies OpCon UNIX agent adds the same SSH key to all installations

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia