SMA Technologies a publié des correctifs pour une vulnérabilité critique affectant l’agent UNIX OpCon (une solution d'automatisation et d'orchestration des processus multiplateforme), cette faille résulte du fait que la même clé SSH est déployée avec toutes les installations.

Suivie sous le nom de CVE-2022-2154, le problème fait que la même clé SSH est fournie à chaque installation et aux mises à jour ultérieures, explique le Centre de coordination CERT (CERT/CC) de l'Université Carnegie Mellon dans un avis. Cette clé est ajoutée au fichier authorized_keys du compte root pendant l'installation de l'agent, et l'entrée y reste même après la suppression du logiciel OpCon.

Les fichiers d'installation comprennent également une clé privée correspondante, non chiffrée, nommée "sma_id_rsa".

La vulnérabilité a été corrigée dans la version 21.2 de l’agent OpCon en introduisant un outil de suppression qui vérifie la présence de la clé SSH vulnérable dans le fichier authorized_keys et la déplace, tout en informant l'utilisateur qu'il l'a trouvée et supprimée. Il supprime également les clés publiques et privées vulnérables des autres dossiers où elles peuvent se trouver.

Selon CERT/CC, les utilisateurs peuvent installer et appliquer les correctifs disponibles, comme ils peuvent supprimer manuellement l'entrée de la clé SSH du fichier authorized_keys de root afin de résoudre le problème.