Onderzoekers van Qualys hebben twee kritieke kwetsbaarheden ontdekt in OpenSSH, die servers openzetten voor man-in-the-middle en DoS-aanvallen.
Qualys rapporteert twee kwetsbaarheden in het opensource serverprogramma OpenSSH. Een ervan maakt een ‘man-in-the-middle’ (MitM)-aanval mogelijk waarbij authenticatie volledig omzeild wordt. De andere kwetsbaarheid kan zowel de client als de server laten vastlopen door een ‘Denial-of-Service’ (DoS)-aanval met asymmetrisch verbruik van geheugen en CPU.
Volgens Qualys gaat het om twee kritieke kwetsbaarheden en dient OpenSSH zo snel mogelijk gepatcht te worden.
MitM of DOS
De eerste kwetsbaarheid (CVE-2025-26465) treft de OpenSSH-client wanneer de optie VerifyHostKeyDNS is ingeschakeld. Standaard staat deze optie uit, maar in sommige systemen is het ingeschakeld. Als een client verbinding maakt met een server en een aanvaller zich tussenbeide plaatst, kan de aanvaller zich voordoen als de legitieme server. Dit gebeurt zonder dat de client de identiteit van de server correct verifieert. De aanval werkt wanneer VerifyHostKeyDNS op ‘yes‘ als ‘ask‘ staat, en vereist geen verdere interactie.
De oorzaak ligt in een fout bij het afhandelen van fouten in de code die de serveridentiteit controleert. Door het geheugenverbruik van de client te manipuleren, kan een aanvaller een specifieke foutmelding uitlokken, waardoor de verificatiestap volledig wordt overgeslagen.
CVE-2025-26466 maakt het mogelijk om zowel de OpenSSH-client als -server te laten vastlopen door een DoS-aanval. Dit gebeurt via een asymmetrische verbruik van het geheugen. Een aanvaller kan een groot aantal SSH2_MSG_PING-pakketten sturen, waardoor het slachtoffer een enorme hoeveelheid antwoorden buffert zonder ze direct te verzenden. Dit leidt tot een onbeperkte geheugenallocatie en een daaropvolgende CPU-intensieve verwerking wanneer de buffers worden verwerkt.
Clients hebben geen ingebouwde bescherming tegen deze aanval. De aanval kan bovendien ook worden gebruikt om de eerder genoemde MitM-aanval mogelijk te maken.
Déjà vu
Dit artikel leest als een déjà vu voor wie zich de OpenSSH-kwetsbaarheid van vorige zomer. Ook toen was het Qualys dat aan de alarmbel trok. Omwille van de honderdduizenden installaties en miljoenen instances die steunen op OpenSSH, kunnen kwetsbaarheden in het programma snel een groot aantal slachtoffers maken.
Om de vergelijking compleet te maken, gaat het net zoals afgelopen zomer om kwetsbaarheden die al jaren onopgemerkt in de code van OpenSSH zaten. De VerifyHostKeyDNS-kwetsbaarheid zou al zeker tien jaar bestaan. De DOS-kwetsbaarheid is recenter ontstaan in augustus 2023.
OpenSSH heeft inmiddels een beveiligingsupdate uitgerold. Beheerders worden aangeraden om hun systemen zo snel mogelijk bij te werken en de instellingen van VerifyHostKeyDNS zorgvuldig te controleren, alsook DoS-beperkende configuraties in te stellen.