OpenSSH выпустил обновления безопасности, устраняющие две уязвимости – «человек посередине» (MitM) и отказ в обслуживании, причем одна из уязвимостей появилась более десяти лет назад.
Компания Qualys обнаружила обе уязвимости и продемонстрировала разработчикам OpenSSH возможность их использования.
OpenSSH (Open Secure Shell) – это бесплатная реализация протокола SSH (Secure Shell) с открытым исходным кодом, который обеспечивает шифрованную связь для безопасного удаленного доступа, передачи файлов и туннелирования через недоверенные сети.
Это один из наиболее широко используемых инструментов в мире, с высоким уровнем принятия в системах на базе Linux и Unix (BSD, macOS), используемых в корпоративных средах, ИТ, DevOps, облачных вычислениях и приложениях кибербезопасности.
Две уязвимости
Уязвимость MiTM, отслеживаемая под номером CVE-2025-26465, появилась в декабре 2014 года с выходом OpenSSH 6.8p1, поэтому проблема оставалась необнаруженной более десяти лет.
Дефект затрагивает клиентов OpenSSH при включенной опции „VerifyHostKeyDNS“, позволяя угрожающим субъектам осуществлять MitM-атаки.
«Атака на клиент OpenSSH (CVE-2025-26465) проходит независимо от того, установлен ли параметр VerifyHostKeyDNS в значение «yes» или «ask» (по умолчанию «no»), не требует вмешательства пользователя и не зависит от существования ресурсной записи SSHFP (отпечатка SSH) в DNS»
- поясняет Qualys
Если эта функция включена, то из-за неправильной обработки ошибок злоумышленник может обманом заставить клиента принять ключ неавторизованного сервера, вызвав ошибку отсутствия памяти при проверке.
Перехватив SSH-соединение и представив большой SSH-ключ с избыточными расширениями сертификата, злоумышленник может исчерпать память клиента, обойти проверку хоста и перехватить сессию для кражи учетных данных, внедрения команд и утечки данных.
Хотя опция „VerifyHostKeyDNS“ по умолчанию отключена в OpenSSH, в FreeBSD она была включена по умолчанию с 2013 по 2023 год, в результате чего многие системы были подвержены этим атакам.
Вторая уязвимость – CVE-2025-26466, дефект отказа в обслуживании перед аутентификацией, появившийся в OpenSSH 9.5p1, выпущенном в августе 2023 года.
Проблема возникает из-за неограниченного выделения памяти во время обмена ключами, что приводит к неконтролируемому потреблению ресурсов.
Злоумышленник может многократно отправлять небольшие 16-байтовые сообщения ping, что вынуждает OpenSSH буферизовать 256-байтовые ответы без непосредственных ограничений.
Во время обмена ключами эти ответы хранятся неограниченно долго, что приводит к чрезмерному потреблению памяти и перегрузке процессора, потенциально вызывая крах системы.
Последствия эксплуатации CVE-2025-26466 могут быть не такими серьезными, как у первого дефекта, но тот факт, что его можно использовать до аутентификации, сохраняет очень высокий риск сбоев.
Выпущены обновления безопасности
Сегодня команда OpenSSH опубликовала версию 9.9p2, в которой устранены обе уязвимости, поэтому всем рекомендуется перейти на этот релиз как можно скорее.
Кроме того, рекомендуется отключить VerifyHostKeyDNS, если это не является абсолютно необходимым, и полагаться на ручную проверку отпечатков ключей для обеспечения безопасности SSH-соединений.
Что касается проблемы DoS, администраторам рекомендуется ввести строгие ограничения на скорость соединения и отслеживать трафик SSH на предмет аномальных паттернов, чтобы пресекать потенциальные атаки на ранней стадии.
Более подробную техническую информацию о двух дефектах компания Qualys опубликовала здесь.
Комментарии (0)