image

Softwareleverancier voor banken voorziet elke installatie van zelfde ssh-key

woensdag 22 juni 2022, 10:30 door Redactie, 13 reacties

Een softwarebedrijf dat aan banken wereldwijd een automatiseringsplatform levert blijkt bij elke installatie van de Unix-agent een zelfde public ssh-key aan het rootaccount van het systeem toe te voegen. De bijbehorende private key die ook in de installatiebestanden is te vinden is niet beveiligd met een passphrase. Daarnaast blijkt dat het verwijderen van de automatiseringssoftware niet de toevoeging aan het authorized_keys bestand ongedaan maakt.

SMA Technologies richt zich op de financiële sector en heeft naar eigen zeggen meer dan zeshonderd klanten in 24 landen. Deze banken en andere instellingen maken gebruik van het OpCon-automatiseringsplatform. Via het platform, dat uit clients en een server bestaat, zijn onder andere workflows binnen organisaties te automatiseren. De serversoftware is op Windows en Linux te installeren.

In het geval van Linux-servers is er ook een Unix-agent. Bij de installatie van de OpCon Unix-agent en latere updates wordt er voor elke installatie een zelfde public ssh-key aan het authorized_keys bestand van het rootaccount toegevoegd. In dit bestand staan de ssh-keys waarmee op het betreffende account kan worden ingelogd. De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase.

Een aanvaller die de beschikking over de private key heeft kan zo bij alle installaties als root inloggen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Wanneer organisaties de OpCon-software verwijderen blijft de key gewoon in het authorized_keys bestand staan. SMA Technologies heeft een oplossing uitgebracht om het probleem te verhelpen.

Reacties (13)
22-06-2022, 12:33 door Anoniem
Oei, dat fix-script blinkt ook niet uit van kwaliteit.
22-06-2022, 13:43 door _R0N_
Door Anoniem: Oei, dat fix-script blinkt ook niet uit van kwaliteit.

Inderdaad behoorlijk een botte bijl
22-06-2022, 14:21 door Anoniem
Normaliter zal je toch hopelijk geen root login via ssh toestaan.

Oswald
22-06-2022, 15:47 door Anoniem
In het begin van het artikel was het nog allemaal redelijk tam, ja het is een probleem maar niet heel groot.

Tot deze regel, WTF: "De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase." ik vroeg me al af wat men precies bedoelde met geen passphrase als men het over authorized_keys heeft.
22-06-2022, 15:50 door Anoniem
Door _R0N_:
Door Anoniem: Oei, dat fix-script blinkt ook niet uit van kwaliteit.

Inderdaad behoorlijk een botte bijl

Voordeel is wel van het script het behoud de juiste rechten van het bestand zonder opnieuw instellen.
22-06-2022, 15:51 door Anoniem
Door Anoniem: Normaliter zal je toch hopelijk geen root login via ssh toestaan.

Oswald

Dit is het juiste antwoord. En als het echt moet van een server voor backup, etc. evt. een IP-check in sshd_config
22-06-2022, 19:29 door walmare
Het ligt voor de hand dat deze leverancier begonnen is met alleen een windows agent, want de implementatie van de Linux agent is zo oliedom. Dat kan alleen verzonnen zijn door een windowsfiguur omdat ik weet hoe het daar gaat, want
1 er is geen package van gemaakt want dan zou er niks achter blijven bij de-installatie van de agent.
2 Hoe zo zijn er root rechten nodig voor een workflow programma?. Belachelijk!
3 Ja hoor een private key in /usr/local/lsam/bin !@#$ Iemand die niet weet wat een bin directory is! (dat weet elke Linux admin)
4 Bedrijf staat het toe om als root via het netwerk in te loggen!
Het zal mij niet verbazen als ze voor elke klant ook dezelfde public ssh-key gebruiken.
22-06-2022, 19:53 door Anoniem
Door Anoniem: Oei, dat fix-script blinkt ook niet uit van kwaliteit.
Ja waarom maakt dat ding een file met de naam nul en gooit die nooit meer weg?
Duidelijk gemaakt door een Windows programmeur zoals iemand al schreef...
23-06-2022, 12:52 door Anoniem
Welke idioot heeft bedacht dat je als root via SSH gaat inloggen? Sterker nog, dan moeten ze ook de config van de ssh-deamon hebben gewijzigd want dat staat standaard namelijk uit en voor een hele goede reden ook overigens.
Blijkbaar maken die agents niet alleen connectie naar die server toe met dezelfde ssh public key, maar ook ergens anders naartoe met de private key, waarom zou die anders in die installatie bestanden zitten? Tenzij we hier echt te maken hebben met een n00b bedrijf wat security betreft.
Dat er geen wachtwoord op zit, vertelt mij vooral dat die private key automatisch gebruikt wordt, belangrijkste reden om dat wachtwoord weg te laten.

En die fiks van ze? Daar hebben we natuurlijk geen vertrouwen in.
heeft iemand een klanten lijst van dit bedrijf? Zo ja, vooral mijden wat daar op staat. Want hun klanten hebben blijkbaar ook geen kaas gegeten van security, anders hadden ze dit moeten controleren en moeten opmerken. Want die financiële bedrijven zijn net zo schuldig aan het toestaan van SSH toegang op een root (administrator voor windows gebruikers) account dan de leverancier is.
23-06-2022, 15:18 door Anoniem
Door Anoniem: Welke idioot heeft bedacht dat je als root via SSH gaat inloggen? Sterker nog, dan moeten ze ook de config van de ssh-deamon hebben gewijzigd want dat staat standaard namelijk uit en voor een hele goede reden ook overigens.
De defaultsetting is meestal "PermitRootLogin prohibit-password" dwz je mag niet inloggen als root met een password
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
23-06-2022, 21:44 door Anoniem
Door Anoniem:
Door Anoniem: Welke idioot heeft bedacht dat je als root via SSH gaat inloggen? Sterker nog, dan moeten ze ook de config van de ssh-deamon hebben gewijzigd want dat staat standaard namelijk uit en voor een hele goede reden ook overigens.
De defaultsetting is meestal "PermitRootLogin prohibit-password" dwz je mag niet inloggen als root met een password
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
Dan heben ze het dus toch zelf aangezet want authorized_keys bestaat default niet en kan je dus niet als root inloggen.
Blijft dom om een leverancier root rechten te geven dan zie je wat er van komt. Systeembeheerders zullen wel zijn overruled door een manager. Gebeurd zo vaak!
24-06-2022, 11:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Welke idioot heeft bedacht dat je als root via SSH gaat inloggen? Sterker nog, dan moeten ze ook de config van de ssh-deamon hebben gewijzigd want dat staat standaard namelijk uit en voor een hele goede reden ook overigens.
De defaultsetting is meestal "PermitRootLogin prohibit-password" dwz je mag niet inloggen als root met een password
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
Dan heben ze het dus toch zelf aangezet want authorized_keys bestaat default niet en kan je dus niet als root inloggen.
Blijf je nou in een cirkeltje rond tollen? Is het niet handiger eerst even beter te lezen?
Blijft dom om een leverancier root rechten te geven dan zie je wat er van komt. Systeembeheerders zullen wel zijn overruled door een manager. Gebeurd zo vaak!
Nog een keer lezen!
24-06-2022, 17:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Welke idioot heeft bedacht dat je als root via SSH gaat inloggen? Sterker nog, dan moeten ze ook de config van de ssh-deamon hebben gewijzigd want dat staat standaard namelijk uit en voor een hele goede reden ook overigens.
De defaultsetting is meestal "PermitRootLogin prohibit-password" dwz je mag niet inloggen als root met een password
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
Dan heben ze het dus toch zelf aangezet want authorized_keys bestaat default niet en kan je dus niet als root inloggen.
Blijf je nou in een cirkeltje rond tollen? Is het niet handiger eerst even beter te lezen?
Blijft dom om een leverancier root rechten te geven dan zie je wat er van komt. Systeembeheerders zullen wel zijn overruled door een manager. Gebeurd zo vaak!
Nog een keer lezen!
Niet nodig. Het is precies zoals Anoniem zegt 15:18 Als je geen pubkey hebt toegevoegd in /root/.ssh/authorized_keys kan je default niet als root inloggen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.