Securityonderzoekers van Qualys hebben twee kwetsbaarheden in OpenSSH ontdekt. De gevaarlijkste van de twee maakt het mogelijk voor aanvallers om een man-in-the-middle aanval uit te voeren wanneer de VerifyHostKeyDNS-optie is ingeschakeld.
De eerste kwetsbaarheid (CVE-2025-26465) stelt aanvallers in staat om de identiteitscontrole van de server volledig te omzeilen wanneer een kwetsbare client verbinding maakt. Dit is mogelijk wanneer VerifyHostKeyDNS is ingesteld op ‘yes’ of ‘ask’, zonder dat gebruikersinteractie nodig is. Dit is een afwijking van de norm. Sinds maart 2023 is de standaard optie ‘no’, omdat het gebruik van VerifyHostKeyDNS wellicht afhangt van een trusted nameserver en netwerkpad.
Denial of Service-kwetsbaarheid
De tweede kwetsbaarheid (CVE-2025-26466) maakt een pre-authenticatie denial-of-service-aanval mogelijk. Deze treft zowel de client als server en zorgt voor asymmetrisch verbruik van geheugen en CPU-resources. Zoals eerder dit jaar bij een Citrix SSH-kwetsbaarheid, moeten admins zelf actie ondernemen om het probleem op te lossen. Het kan dan ook weken of maanden duren voordat alle besturingssystemen een patch hiervoor hebben doorgevoerd.
Impact en mitigatie
De man-in-the-middle kwetsbaarheid werd geïntroduceerd in december 2014, vlak voor OpenSSH 6.8p1. Hoewel VerifyHostKeyDNS standaard uitgeschakeld is, was deze optie op sommige systemen, zoals FreeBSD, standaard ingeschakeld van 2013 tot 2023.
Voor de server-kant van de DoS-kwetsbaarheid zijn er ingebouwde beschermingsmechanismen beschikbaar via LoginGraceTime, MaxStartups en PerSourcePenalties (in OpenSSH 9.8p1 en nieuwer). Dit sluit aan bij de trend van verhoogde aandacht voor beveiliging, zoals we eerder zagen bij andere OpenSSH-kwetsbaarheden.
Advies voor gebruikers
Gebruikers wordt aangeraden om te upgraden naar de nieuwste versie van OpenSSH zodra deze beschikbaar komt. Wanneer deze arriveert, is niet bekend. Voor systemen waar VerifyHostKeyDNS is ingeschakeld, is het aan te raden deze instelling tijdelijk uit te schakelen tot een patch beschikbaar is.