Le 18 février 2025, deux vulnérabilités critiques ont été découvertes dans OpenSSH. C’est un outil très utilisé pour sécuriser des accès SSH sur des serveurs et ce sont de failles qui ont été trouvés. Identifiées comme CVE-2025-26465 et CVE-2025-26466, ces failles exposent les systèmes à des attaques de type « man-in-the-middle » (MitM) et des attaques par déni de service (DoS).
OpenSSH est une implémentation open-source du protocole SSH, offrant des communications chiffrées sur des réseaux non sécurisés. Il est largement adopté sur les systèmes Linux et macOS. OpenSSH permet de se connecter de façon sécurisé et à distance, il est aussi possible de l’utiliser pour transférer de fichiers garantissant l’intégrité et la confidentialité des données échangées.
CVE-2025-26465 : Vulnérabilité « Man-in-the-Middle » via VerifyHostKeyDNS
Cette vulnérabilité concerne le client OpenSSH lorsque l’option VerifyHostKeyDNS est activée. Introduite en décembre 2014, elle affecte les versions d’OpenSSH de la 6.8p1 à la 9.9p1 incluses. Lorsqu’un client vulnérable se connecte à un serveur, un attaquant capable d’intercepter le trafic réseau peut usurper l’identité du serveur légitime, contournant ainsi les vérifications d’identité du serveur par le client. Cette faille résulte d’une mauvaise gestion des codes d’erreur lors de la vérification de la clé hôte, permettant à un attaquant d’épuiser les ressources mémoire du client et de mener une attaque MitM réussie.
Une exploitation réussie de CVE-2025-26465 permettrait à un attaquant d’intercepter ou de modifier des sessions SSH, compromettant ainsi la confidentialité et l’intégrité des données. Les sessions SSH sont souvent utilisées pour des tâches administratives sensibles ; leur compromission pourrait donc entraîner l’exposition de données critiques, une escalade de privilèges ou un mouvement latéral au sein du réseau. Normalement l’option VerifyHostKeyDNS est désactivée par défaut (et c’est une bonne chose), mais elle a été activée par défaut sur FreeBSD de septembre 2013 à mars 2023, augmentant le risque pour les systèmes concernés.
CVE-2025-26466 : Attaque DDOS
Cette vulnérabilité affecte à la fois le client et le serveur OpenSSH, permettant une attaque par déni de service avant l’authentification. Introduite en août 2023, elle concerne les versions d’OpenSSH de la 9.5p1 à la 9.9p1 incluses. L’attaque exploite une consommation asymétrique des ressources mémoire et CPU en envoyant une série de paquets SSH2_MSG_PING au serveur. Chaque paquet reçu entraîne la génération d’une réponse SSH2_MSG_PONG, qui est stockée en mémoire avant d’être transmise. Pendant l’échange de clés, ces réponses s’accumulent, épuisant la mémoire du système et provoquant une charge CPU excessive lors de leur traitement, ce qui peut entraîner une indisponibilité du service.
L’exploitation de CVE-2025-26466 peut entraîner une consommation excessive des ressources du système, rendant les serveurs inaccessibles et empêchant les administrateurs de les gérer. Cela pourrait perturber les opérations critiques, provoquer des interruptions de service et potentiellement entraîner des pertes financières ou des atteintes à la réputation de l’organisation.
Mesures recommandées pour openssh
Les personnes qui s’occupe d’OpenSSH ont publié la version 9.9p2 le 18 février 2025, qui corrige ces vulnérabilités. Il est donc fortement recommandé (voir indispensable) de mettre à jour vers cette version ou une version ultérieure pour se protéger contre ces failles.
Veillez aussi à vous assurer que l’option VerifyHostKeyDNS est désactivée, sauf si son utilisation est strictement nécessaire et que des mesures de sécurité appropriées sont en place. Cette précaution réduit le risque d’attaques MitM potentielles.
Pour atténuer les risques associés à CVE-2025-26466, il est aussi conseillé de configurer des paramètres tels que LoginGraceTime, MaxStartups et PerSourcePenalties sur les serveurs OpenSSH. Ces paramètres aident à limiter le nombre de connexions simultanées et à gérer les tentatives de connexion abusives, réduisant ainsi la probabilité d’une attaque DDoS.
Les vulnérabilités CVE-2025-26465 et CVE-2025-26466 mettent en évidence l’importance de maintenir les systèmes à jour et de configurer correctement les services critiques tels qu’OpenSSH. Restons vigilants 😉 !
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
