Les chercheurs de Qualys ont découvert deux vulnérabilités critiques dans OpenSSH qui exposent les serveurs à des attaques de type man-in-the-middle et DoS.
Qualys signale deux vulnérabilités dans le programme serveur open-source OpenSSH. L’une d’entre elles permet une attaque de type “man-in-the-middle” (MitM) où l’authentification est complètement contournée. L’autre vulnérabilité peut entraîner le blocage du client et du serveur par une attaque de type “déni de service” (DoS) avec une consommation asymétrique de la mémoire et de l’unité centrale.
Selon Qualys, il s’agit de deux vulnérabilités critiques et OpenSSH devrait être corrigé dès que possible.
MitM ou DOS
La première vulnérabilité (CVE-2025-26465) affecte le client OpenSSH lorsque l’option VerifyHostKeyDNS est activée. Par défaut, cette option est désactivée, mais dans certains systèmes, elle est activée. Si un client se connecte à un serveur et qu’un attaquant intervient, ce dernier peut se faire passer pour le serveur légitime. Cela se produit sans que le client ne vérifie correctement l’identité du serveur. L’attaque fonctionne lorsque VerifyHostKeyDNS est défini sur ‘yes‘ comme ‘ask‘, et ne nécessite aucune autre interaction.
La cause réside dans une erreur de gestion des erreurs dans le code qui vérifie l’identité du serveur. En manipulant la consommation de mémoire du client, un pirate peut déclencher un message d’erreur spécifique, sautant ainsi l’étape de vérification.
CVE-2025-26466 permet au client et au serveur OpenSSH d’être bloqués par une attaque DoS. Cela se fait par le biais d’une consommation de mémoire asymétrique. Un attaquant peut envoyer un grand nombre de paquets SSH2_MSG_PING, amenant la victime à mettre en mémoire tampon un grand nombre de réponses sans les envoyer directement. Cela conduit à une allocation de mémoire illimitée et à un traitement ultérieur intensif du processeur lorsque les tampons sont traités.
Les clients ne disposent d’aucune protection intégrée contre cette attaque. De plus, cette attaque peut également être utilisée pour activer l’attaque MitM mentionnée plus haut.
Déjà vu
Cet article a un air de déjà-vu pour ceux qui se souviennent de la vulnérabilité d’OpenSSH de l’été dernier. À l’époque également, c’est Qualys qui avait tiré la sonnette d’alarme. En raison des centaines de milliers d’installations et des millions d’instances qui reposent sur OpenSSH, les vulnérabilités du programme peuvent rapidement faire un grand nombre de victimes.
Pour compléter la comparaison, tout comme l’été dernier, il s’agit de vulnérabilités qui sont passées inaperçues dans le code d’OpenSSH pendant des années. La vulnérabilité VerifyHostKeyDNS existerait depuis au moins une décennie. La vulnérabilité DOS est apparue plus récemment, en août 2023.
OpenSSH a depuis déployé une mise à jour de sécurité. Il est conseillé aux administrateurs de mettre à jour leurs systèmes dès que possible et de vérifier soigneusement les paramètres VerifyHostKeyDNS, ainsi que les configurations d’atténuation des attaques par déni de service.