JVNVU#92741585
SMA Technologies製OpConのUNIX向けエージェントにおけるSSH鍵生成の問題

SMA Technologiesが提供するOpConには、UNIX向けエージェントにおいて、SSH接続用の鍵生成に関する問題が存在します。

• OpCon バージョン 21.2 およびそれ以前

OpConはSMA Technologiesが提供するIT管理システムです。OpConのUNIX向けエージェントでは、製品に共通のSSH接続用鍵ペアが用いられており、その秘密鍵がインストールファイル内にハードコードされています。さらに、製品のインストールおよび更新時に、公開鍵がrootユーザのauthorized_keysファイルに追加されるため、インストールファイルから秘密鍵を入手した攻撃者は、他ユーザのシステムにSSH接続することが可能になります。この問題にはCVE-2022-2154が採番されています。

秘密鍵を取得した攻撃者によって、本製品を使用しているシステムにroot権限でSSH接続される可能性があります。

修正ツールを適用する
開発者は、システムから鍵情報を削除し、本問題を修正するためのツールを提供しています。開発者が提供する情報を確認の上、ツールを適用してください。

ワークアラウンドを実施する
開発者が提供しているツールを適用しない場合、rootユーザのauthorized_keysファイルから公開鍵のエントリ（下記を参照）を手動で削除してください。

• SHA256: qbgTVNkLGI5G7erZqDhte63Vpw+9g88jYCxMuh8cLeg
• MD5: f1:6c:c9:ba:21:66:ce:7c:5a:55:e2:4d:07:72:cc:31