OpenSSH : ces failles de sécurité exposent les serveurs SSH à des attaques MiTM et DoS !
La dernière mise à jour de sécurité pour OpenSSH corrige deux failles de sécurité, dont une introduite en 2014, au sein d'une ancienne version. Quels sont les risques ? Comment se protéger ? Faisons le point.
OpenSSH vient de publier une mise à jour de sécurité pour corriger deux vulnérabilités : CVE-2025-26465 et CVE-2025-26466. Découvertes par les chercheurs en sécurité de chez Qualys, il est à la fois question d'une attaque de type man-in-the-middle et d'un déni de service.
Sommaire
CVE-2025-26465 : une faille MitM cachée depuis 2014
La première vulnérabilité, associée à la référence CVE-2025-26465, a été introduite dans OpenSSH en décembre 2014, lors de la sortie d'OpenSSH 6.8p1. Il y a donc plus de 10 ans que cette faille de sécurité est présente dans l'application.
Cette faiblesse réside dans VerifyHostKeyDNS, une option de configuration d'OpenSSH qui permet d'indiquer au client SSH de vérifier la clé de l'hôte distant à l'aide d'enregistrements DNS. Grâce à cette vulnérabilité, un attaquant peut intercepter une connexion et usurper un serveur légitime. Autrement dit, si l'attaquant met en œuvre une attaque man-in-the middle, le client OpenSSH peut accepter la clé de l'attaquant au lieu de la clé du serveur légitime.
Les chercheurs de Qualys précisent : "L'attaque contre le client OpenSSH (CVE-2025-26465) réussit indépendamment du fait que l'option VerifyHostKeyDNS soit configurée sur 'yes' ou 'ask' (sa valeur par défaut étant 'no'), ne nécessite aucune interaction de l'utilisateur et ne dépend pas de l'existence d'un enregistrement SSHFP dans le DNS."
Cette option est désactivée par défaut dans OpenSSH, mais malgré tout, il convient d'être vigilant. En effet, l'option VerifyHostKeyDNS a été activée par défaut sur FreeBSD entre 2013 et 2023, exposant ainsi de nombreux systèmes à cette attaque.
CVE-2025-26466 : une vulnérabilité DoS pré-authentification
La seconde faille, référencée en tant que CVE-2025-26466, est d'un autre ordre puisqu'il est question d'un déni de service (DoS). Cette vulnérabilité a été introduite dans OpenSSH 9.5p1, sorti en août 2023. Les chercheurs évoquent une consommation asymétrique des ressources CPU et RAM, ce qui permet à un attaquant distant de saturer le système. Dans les faits, cette attaque, répétée, peut empêcher l'administrateur d'accéder à distance à son serveur pendant une période plus ou moins longue.
Sur le papier, cette vulnérabilité est moins importante que la CVE-2025-26465 évoquée précédemment. Néanmoins, le fait qu'elle soit exploitable avant authentification représente un risque pour la disponibilité des services. Il suffit de savoir comment exploiter cette vulnérabilité et pouvoir établir une connexion SSH avec un hôte vulnérable pour mener une attaque.
Comment se protéger ?
OpenSSH a publié la version 9.9p2, qui corrige ces deux vulnérabilités. C'est donc avec cette nouvelle version que vous pouvez vous protéger de ces failles de sécurité. En complément, il existe aussi des mesures d'atténuations pour les deux CVE.
Tout d'abord, pour se prémunir contre la faille MitM, il est conseillé de désactiver l'option VerifyHostKeyDNS , sauf si vous avez un besoin spécifique. En principe, je le rappelle, elle est désactivée par défaut. Concernant la seconde faille, les administrateurs doivent mettre en place des limites strictes sur les connexions SSH, comme l'explique Qualys : "Cette attaque peut être atténuée en exploitant les mécanismes existants dans OpenSSH, tels que LoginGraceTime, MaxStartups, et les plus récents PerSourcePenalties."
Si vous souhaitez en savoir plus, vous pouvez consulter le rapport de Qualys.
