Softwareleverancier voor banken voorziet elke installatie van zelfde ssh-key
Een softwarebedrijf dat aan banken wereldwijd een automatiseringsplatform levert blijkt bij elke installatie van de Unix-agent een zelfde public ssh-key aan het rootaccount van het systeem toe te voegen. De bijbehorende private key die ook in de installatiebestanden is te vinden is niet beveiligd met een passphrase. Daarnaast blijkt dat het verwijderen van de automatiseringssoftware niet de toevoeging aan het authorized_keys bestand ongedaan maakt.
SMA Technologies richt zich op de financiële sector en heeft naar eigen zeggen meer dan zeshonderd klanten in 24 landen. Deze banken en andere instellingen maken gebruik van het OpCon-automatiseringsplatform. Via het platform, dat uit clients en een server bestaat, zijn onder andere workflows binnen organisaties te automatiseren. De serversoftware is op Windows en Linux te installeren.
In het geval van Linux-servers is er ook een Unix-agent. Bij de installatie van de OpCon Unix-agent en latere updates wordt er voor elke installatie een zelfde public ssh-key aan het authorized_keys bestand van het rootaccount toegevoegd. In dit bestand staan de ssh-keys waarmee op het betreffende account kan worden ingelogd. De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase.
Een aanvaller die de beschikking over de private key heeft kan zo bij alle installaties als root inloggen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Wanneer organisaties de OpCon-software verwijderen blijft de key gewoon in het authorized_keys bestand staan. SMA Technologies heeft een oplossing uitgebracht om het probleem te verhelpen.
Inderdaad behoorlijk een botte bijl
Oswald
Tot deze regel, WTF: "De bijbehorende private key bevindt zich ook in de installatiebestanden en is niet beveiligd met een passphrase." ik vroeg me al af wat men precies bedoelde met geen passphrase als men het over authorized_keys heeft.
Inderdaad behoorlijk een botte bijl
Voordeel is wel van het script het behoud de juiste rechten van het bestand zonder opnieuw instellen.
Oswald
Dit is het juiste antwoord. En als het echt moet van een server voor backup, etc. evt. een IP-check in sshd_config
1 er is geen package van gemaakt want dan zou er niks achter blijven bij de-installatie van de agent.
2 Hoe zo zijn er root rechten nodig voor een workflow programma?. Belachelijk!
3 Ja hoor een private key in /usr/local/lsam/bin !@#$ Iemand die niet weet wat een bin directory is! (dat weet elke Linux admin)
4 Bedrijf staat het toe om als root via het netwerk in te loggen!
Het zal mij niet verbazen als ze voor elke klant ook dezelfde public ssh-key gebruiken.
Duidelijk gemaakt door een Windows programmeur zoals iemand al schreef...
Blijkbaar maken die agents niet alleen connectie naar die server toe met dezelfde ssh public key, maar ook ergens anders naartoe met de private key, waarom zou die anders in die installatie bestanden zitten? Tenzij we hier echt te maken hebben met een n00b bedrijf wat security betreft.
Dat er geen wachtwoord op zit, vertelt mij vooral dat die private key automatisch gebruikt wordt, belangrijkste reden om dat wachtwoord weg te laten.
En die fiks van ze? Daar hebben we natuurlijk geen vertrouwen in.
heeft iemand een klanten lijst van dit bedrijf? Zo ja, vooral mijden wat daar op staat. Want hun klanten hebben blijkbaar ook geen kaas gegeten van security, anders hadden ze dit moeten controleren en moeten opmerken. Want die financiële bedrijven zijn net zo schuldig aan het toestaan van SSH toegang op een root (administrator voor windows gebruikers) account dan de leverancier is.
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
Blijft dom om een leverancier root rechten te geven dan zie je wat er van komt. Systeembeheerders zullen wel zijn overruled door een manager. Gebeurd zo vaak!
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
maar wel als root met een key uit /root/.ssh/authorized_keys. En die hadden ze er bij gezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.