SMA Technologies が提供する OpCon には、UNIX 向けエージェントにおいて、SSH 接続用の鍵生成に関する問題が存在します。 OpCon は SMA Technologies が提供する IT 管理システムです。OpCon の UNIX 向けエージェントでは、製品に共通の SSH 接続用鍵ペアが用いられており、その秘密鍵がインストールファイル内にハードコードされています。さらに、製品のインストールおよび更新時に、公開鍵が root ユーザの authorized_keys ファイルに追加されるため、インストールファイルから秘密鍵を入手した攻撃者は、他ユーザのシステムに SSH 接続することが可能になります。この問題には CVE-2022-2154 が採番されています。

[修正ツールを適用する] 開発者は、システムから鍵情報を削除し、本問題を修正するための<a href="https://smatechnologies.hosted-by-files.com/SMAUnixLSAMVulnerabilityFix/"target="blank">ツール</a>を提供しています。開発者が提供する情報を確認の上、ツールを適用してください。 [ワークアラウンドを実施する] 開発者が提供しているツールを適用しない場合、root ユーザの authorized_keys ファイルから公開鍵のエントリ （下記を参照） を手動で削除してください。 * SHA256: qbgTVNkLGI5G7erZqDhte63Vpw+9g88jYCxMuh8cLeg * MD5: f1:6c:c9:ba:21:66:ce:7c:5a:55:e2:4d:07:72:cc:31 なお、開発者によると、現在公開されている OpCon バージョン 21.2 のパッケージには鍵情報は含まれていないとのことです。