Softwareleverancier voor banken voorziet elke installatie van zelfde ssh-key

[Captain Kirk]

Een softwarebedrijf dat aan banken wereldwijd een automatiseringsplatform levert blijkt bij elke installatie van de Unix-agent een zelfde public ssh-key aan het rootaccount van het systeem toe te voegen. De bijbehorende private key die ook in de installatiebestanden is te vinden is niet beveiligd met een passphrase. Daarnaast blijkt dat het verwijderen van de automatiseringssoftware niet de toevoeging aan het authorized_keys bestand ongedaan maakt.

SMA Technologies richt zich op de financiële sector en heeft naar eigen zeggen meer dan zeshonderd klanten in 24 landen. Deze banken en andere instellingen maken gebruik van het OpCon-automatiseringsplatform. Via het platform, dat uit clients en een server bestaat, zijn onder andere workflows binnen organisaties te automatiseren. De serversoftware is op Windows en Linux te installeren.

In het geval van Linux-servers is er ook een Unix-agent. Bij de installatie van de OpCon Unix-agent en latere updates wordt er voor elke installatie een zelfde public ssh-key aan het authorized_keys bestand van het rootaccount toegevoegd. In dit bestand staan de ssh-keys waarmee op het betreffende account kan worden ingelogd. De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase.

Een aanvaller die de beschikking over de private key heeft kan zo bij alle installaties als root inloggen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Wanneer organisaties de OpCon-software verwijderen blijft de key gewoon in het authorized_keys bestand staan. SMA Technologies heeft een oplossing uitgebracht om het probleem te verhelpen.

 

bron: https://www.security.nl