Säkerhetshål i Enghouse Interactive IVR Pro installationer

Plattformar som installerats med tillägget OpenVZ-fallback använder samma SSH-nyckel för root-kontot på samtliga installationer varav den privata nyckeln på något sätt har exponerats publikt.

Installationer av IVR Pro som använder OpenVZ för fallback-stöd har en sårbarhet, samma SSH-nyckel för root kontot har används för samtliga installationer. Den privata nyckeln är röjd och publikt tillgänglig, vilket kan ge obehöriga möjlighet logga in på ett sårbart system om SSH-tjänsten är publikt exponerad. Eftersom nyckeln tillhör användaren root så innebär det att en angripare som utnyttjar bristen får full åtkomst till hela systemet.

Leverantören Enghouse Interactive har rättat problemet i nya utgåvor IVR Pro men de har valt att behålla det gamla versionnummret 9.0.3. För att säkerställa att en installation inte är sårbar kan man kontrollera att fingerprint på SSH-nyckeln inte är samma som det fingerprint som tillhör den exponerade nyckeln, se länken nedan.

Mer information om bristen och samt fingerprint för den exponerade nyckeln finns här: https://xpd.se/advisories/XPD-2013-001.txt