Как защитить себя от атак, осуществляемых через опасные уязвимости, обнаруженные в OpenSSH?

Исследователи в области кибербезопасности выявили две серьезные уязвимости в OpenSSH – широко используемом протоколе для безопасной сетевой связи. Эти уязвимости, обнаруженные специалистами Qualys Threat Research Unit (TRU), зарегистрированы как CVE-2025-26465 и CVE-2025-26466.

Данные уязвимости позволяют злоумышленникам атаковать клиентов и серверы, перехватывать SSH-сессии (Man-in-the-Middle, MiTM) и выполнять атаки отказа в обслуживании (Denial of Service, DoS) без предварительной аутентификации.

Так как OpenSSH является неотъемлемой частью корпоративной инфраструктуры, эти уязвимости представляют серьезную угрозу целостности данных, стабильности работы систем и соответствия требованиям безопасности (GDPR, HIPAA, PCI-DSS и др.).

CVE-2025-26465: Атака «человек посередине» (MiTM)

Эта уязвимость затрагивает клиентов OpenSSH версий 6.8p1 – 9.9p1 и возникает при включенной опции VerifyHostKeyDNS.

Основные риски:

• Хотя эта опция по умолчанию отключена, в прошлые годы она была активирована в FreeBSD и некоторых других конфигурациях, что расширяет поверхность атаки.
• Уязвимость позволяет хакерам подменять легитимные серверы, обходя проверку ключей даже при отсутствии DNS-записей SSHFP.
• Атака выполняется незаметно для пользователя, что позволяет злоумышленникам перехватывать SSH-сессии, похищать учетные данные, изменять данные и проникать в корпоративные сети.

Сколько лет существует эта уязвимость?

Эта ошибка присутствовала в коде OpenSSH с декабря 2014 года, то есть 11 лет оставалась незамеченной. Это подчеркивает важность регулярных проверок конфигурации и аудита безопасности.

CVE-2025-26466: DoS-атака без аутентификации

Эта уязвимость затрагивает OpenSSH версий 9.5p1 – 9.9p1.

Основные риски:

• Злоумышленники могут перегрузить сервер, создавая асимметричную нагрузку на процессор и память.
• Используя большое количество SSH2_MSG_PING-пакетов, хакеры могут заблокировать ресурсы системы, что приведет к отказу в обслуживании (DoS).
• Администраторы не смогут подключиться к серверу через SSH, что может привести к сбоям критически важных инфраструктур.

Есть ли защитные механизмы?

Серверная защита включает LoginGraceTime и PerSourcePenalties, но на стороне клиента пока нет эффективных решений.

Поэтому немедленное обновление OpenSSH является обязательной мерой защиты.

Как защититься от уязвимостей?

✅ Обновите OpenSSH до версии 9.9p2, в которой исправлены данные уязвимости.

✅ Отключите VerifyHostKeyDNS, если он включен, и настройте строгую проверку ключей через known_hosts.

✅ Усилите параметры безопасности сервера:

• Уменьшите LoginGraceTime, чтобы сократить время ожидания соединений.
• Ограничьте число одновременных подключений с помощью MaxStartups.
• Включите PerSourcePenalties, чтобы автоматически блокировать подозрительные IP-адреса.

✅ Настройте мониторинг сети и анализируйте подозрительные SSH-подключения.

✅ Регулярно обновляйте SSH-ключи и удаляйте неиспользуемые для повышения безопасности.

Уязвимости CVE-2025-26465 и CVE-2025-26466 представляют серьезную угрозу безопасности OpenSSH. Атака MiTM может привести к утечке конфиденциальных данных, а DoS-атака – к полной недоступности сервера.

Киберпреступники могут использовать эти уязвимости для вымогательских атак (ransomware) или проникновения в корпоративные сети.

Поэтому все пользователи и администраторы OpenSSH должны срочно принять меры безопасности и установить обновления.

🛡 Не пренебрегайте кибербезопасностью! Проверьте конфигурацию SSH-серверов, обновите их и регулярно контролируйте систему.