OpenSSH’da aniqlangan xavfli zaifliklar orqali amalga oshirilayotgan hujumlardan qanday himoyalanish mumkin?

Kiberxavfsizlik bo‘yicha tadqiqotchilar OpenSSH (ochiq kodli xavfsiz tarmoq protokoli) tizimida ikki jiddiy zaiflikni aniqlashdi. Qualys Threat Research Unit (TRU) mutaxassislari tomonidan aniqlangan ushbu zaifliklar CVE-2025-26465 va CVE-2025-26466 sifatida qayd etilgan.

Bu zaifliklar orqali xakerlar mijozlar (client) va serverlarga hujum qilish, SSH sessiyalarni kuzatish (Man-in-the-Middle – MiTM hujumi) va oldindan autentifikatsiyasiz (pre-authentication) xizmatni rad etish (Denial of Service – DoS) hujumlarini amalga oshirish imkoniyatiga ega bo‘ladilar.

OpenSSH bugungi kunda korporativ infratuzilmaning ajralmas qismi bo‘lib, ushbu zaifliklar ma’lumotlarning butunligini buzish, tizimning ishlashini izdan chiqarish va turli xavfsizlik standartlariga (masalan, GDPR, HIPAA, PCI-DSS) mos kelmaslik xavfini keltirib chiqaradi.

CVE-2025-26465: Man-in-the-Middle hujumi (MiTM)

Ushbu zaiflik OpenSSH mijozlari (clients) ning 6.8p1 dan 9.9p1 gacha bo‘lgan versiyalariga ta’sir qiladi. Muammo VerifyHostKeyDNS opsiyasi yoqilgan holatlarda yuzaga keladi.

Asosiy xavflar:

Bu parametr odatda o‘chirib qo‘yilgan bo‘lsa ham, tarixan FreeBSD va ba’zi boshqa konfiguratsiyalarda faol holatda bo‘lgan, bu esa hujumchilarga qo‘shimcha imkoniyatlar yaratadi.
Ushbu zaiflik orqali tajovuzkorlar haqiqiy serverni soxta server bilan almashtirib, foydalanuvchini sezmagan holda SSH sessiyalarni kuzatishi va maxfiy ma’lumotlarni qo‘lga kiritishi mumkin.
DNS SSHFP yozuvlari mavjud bo‘lmaganda ham server kalitini tekshirish mexanizmini chetlab o‘tish mumkin.
Ushbu hujum foydalanuvchi tomonidan hech qanday harakat talab qilmasdan amalga oshirilishi mumkin. Bu esa xakerlarga shifrlangan ma’lumotlarni o‘g‘irlash, tizimga kirish va ichki tarmoqqa tahdid solish imkonini beradi.

Zaiflik qachondan beri mavjud?

Bu kamchilik 2014-yil dekabr oyida OpenSSH kodiga kiritilgan va 11 yil davomida aniqlanmagan. Bu esa konfiguratsiyalarni chuqur tahlil qilish va muntazam tekshirish zarurligini yana bir bor isbotlaydi.

CVE-2025-26466: Oldindan autentifikatsiyasiz DoS hujumi

Bu zaiflik OpenSSH 9.5p1 dan 9.9p1 gacha bo‘lgan barcha versiyalariga ta’sir qiladi.

Asosiy xavflar:

Xakerlar server resurslarini ortiqcha yuklab, asimmеtrik CPU/memory iste’mol qilish orqali tizimni ishdan chiqarishlari mumkin.
Unautentifikatsiyalangan sessiyalar orqali ko‘p sonli SSH2_MSG_PING paketlarini yuborish natijasida server xotirasi va protsessor quvvatini to‘liq band qilib qo‘yish mumkin.
Administratsiya SSH orqali tizimga kira olmay qoladi, bu esa muhim infratuzilmalarning ishdan chiqishiga sabab bo‘lishi mumkin.

Himoya mexanizmlari bormi?

Server tomonda ba’zi himoya choralar mavjud, masalan LoginGraceTime va PerSourcePenalties, lekin mijoz (client) tomonda hali hech qanday himoya choralari mavjud emas.
Ushbu zaiflikni yengish uchun OpenSSH-ning yangi versiyasiga zudlik bilan yangilanish talab etiladi.

Himoya choralari

✅ OpenSSH 9.9p2 ga yangilang, chunki ushbu versiyada zaifliklar bartaraf etilgan.

✅ VerifyHostKeyDNS opsiyasini o‘chirib qo‘ying va host kalitlarini qo‘lda tasdiqlashni (known_hosts orqali) yo‘lga qo‘ying.

✅ Server xavfsizlik sozlamalarini kuchaytiring:

LoginGraceTime vaqtini kamaytiring
MaxStartups parametrini sozlab, parallel ulanishlar sonini cheklang
PerSourcePenalties mexanizmini yoqib, zararli IP-larni avtomatik bloklang

✅ Tarmoq monitoringini kuchaytiring va shubhali SSH ulanishlarni tahlil qilish tizimini yo‘lga qo‘ying.

✅ SSH kalitlarini muntazam yangilash va foydalanilmaydigan kalitlarni o‘chirish orqali xavfsizlikni oshiring.

CVE-2025-26465 va CVE-2025-26466 zaifliklari OpenSSH xavfsizligiga jiddiy tahdid solmoqda. Man-in-the-Middle hujumi orqali maxfiy ma’lumotlar o‘g‘irlanishi, DoS hujumi orqali esa server resurslari ortiqcha yuklanib, tizim ishlamay qolishi mumkin.

Kiberjinoyatchilar bu zaifliklardan ransomware (fidyeli dasturlar) hujumlarini amalga oshirish yoki korporativ tarmoqlarga noqonuniy kirish uchun foydalanishlari mumkin.

Shuning uchun barcha OpenSSH foydalanuvchilari va server administratorlari darhol zarur xavfsizlik choralarini ko‘rishi va yangilanishlarni o‘rnatishi shart.

🛡 Kiberxavfsizlikni e’tiborsiz qoldirmang! SSH serverlaringiz va mijozlaringizni himoya qiling, konfiguratsiyalarni tekshiring va muntazam monitoring olib boring!

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

OpenSSH’da aniqlangan xavfli zaifliklar orqali amalga oshirilayotgan hujumlardan qanday himoyalanish mumkin?

CVE-2025-26465: Man-in-the-Middle hujumi (MiTM)

CVE-2025-26466: Oldindan autentifikatsiyasiz DoS hujumi

Himoya choralari

CVE-2025-26465: Man-in-the-Middle hujumi (MiTM)

CVE-2025-26466: Oldindan autentifikatsiyasiz DoS hujumi

Himoya choralari

CL0P Ransomware guruhi telekommunikatsiya va sogʻliqni saqlash sektorlariga keng koʻlamli hujumlar uyushtirmoqda

Apache Ignite’da aniqlangan kritik zaiflik masofadan kod bajarish imkonini berishi mumkin

Active Directory pentesting uchun yangi vosita: KeyCredentialLink boshqaruvi