OpenSSH đối mặt với hai lỗ hổng bảo mật mới, tiềm tàng nguy cơ cao gây mất An Toàn Thông Tin
Tổng quan
Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng nghiêm trọng trong OpenSSH có thể bị khai thác để thực hiện tấn công Man-in-the-Middle (MitM) và từ chối dịch vụ (DoS). Đây là vấn đề lớn vì OpenSSH là một trong những công cụ giao tiếp an toàn phổ biến nhất trên internet, được sử dụng rộng rãi trong các hệ thống Linux, macOS và một số hệ thống Windows.
Theo như Qualys TRU (Threat Research Unit) - một đơn vị nghiên cứu mối đe dọa (Threat Research Unit) của Qualys đã chỉ ra hai lỗ hổng có liên quan tới chiến dịch tấn công lần này:
CVE-2025-26465: Lỗ hổng này cho phép kẻ tấn công thực hiện tấn công Man-in-the-Middle (MitM) bằng cách giả mạo máy chủ hợp lệ.
CVE-2025-26466: Lỗ hổng cho phép thực hiện tấn công từ chối dịch vụ (DoS) trước khi xác thực.
Giới thiệu lõ hổng
CVE-2025-26465: Tấn công Machine-in-the-Middle (MITM) trên OpenSSH Client
Mức độ: Cao
Tác động: Kẻ tấn công có thể đánh cắp dữ liệu, chiếm quyền SSH session mà không cần tương tác từ người dùng.
Điều kiện khai thác:
Khi tùy chọn VerifyHostKeyDNS được bật (mặc định là tắt, nhưng có thể bị kích hoạt trong một số cấu hình, đặc biệt là trên FreeBSD).
Không cần SSHFP resource record trong DNS.
CVE-2025-26466: Tấn công từ chối dịch vụ (DoS) trên cả máy khách & máy chủ
Mức độ: Cao
Tác động:
Tấn công pre-authentication DoS, khiến hệ thống tiêu tốn tài nguyên (RAM, CPU), gây gián đoạn dịch vụ SSH.
Có thể khiến quản trị viên không thể đăng nhập, gây đình trệ hoạt động quan trọng.
Các phiên bản bị ảnh hưởng
Các phiên bản OpenSSH 6.8p1 đến 9.9p1
Các phiên bản OpenSSH 9.5p1 đến 9.9p1
Phân tích lỗ hổng
CVE-2025-26465
Tấn công Man-in-the-Middle (MitM) là kỹ thuật mà kẻ tấn công chèn vào giữa kết nối giữa máy khách (client) và máy chủ (server), nhằm đánh cắp thông tin hoặc giả mạo danh tính. Trong OpenSSH, MitM có thể xảy ra nếu xác thực khóa máy chủ không được thực hiện đúng cách.
Ban đầu để những kẻ tấn công có thể thực hiện khai thác lỗ hổng này thì Option VerifyHostKeyDNS phải được enable. Cụ thể là chức năng
sshkey_to_base64()
Đoạn mã Base64 này chịu trách nhiệm chuyển đổi một khóa SSH thành định dạng Base64, có thể liên quan đến CVE-2025-26465 nếu nó xử lý sai dữ liệu trong quá trình xác minh khóa máy chủ.
Biến
rban đầu được đặt làSSH_ERR_INTERNAL_ERROR, nhưng nếu có lỗi trongsshkey_putb()hoặcsshbuf_dtob64_string(), hàm sẽgoto outmà không giải phóng bộ nhớ.Nếu
sshbuf_dtob64_string()thất bại (NULL), nó trả vềSSH_ERR_ALLOC_FAIL, nhưng có thể không xử lý hết các trường hợp ngoại lệ.
Nếu kẻ tấn công có thể kiểm soát giá trị được truyền vào
sshkey_to_base64(), họ có thể khai thác lỗi này để làm hỏng bộ nhớ hoặc gây rò rỉ dữ liệu trong OpenSSH.Cuối cùng khi đã thực hiện thành công khai thác những kẻ tấn công có thể dẫn đánh cắp thông tin xác thực, chiếm quyền điều khiển phiên.
CVE-2025-26466
Lỗ hổng CVE-2025-26466 trong OpenSSH cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS) trước khi xác thực, bằng cách khai thác việc tiêu thụ tài nguyên không đối xứng về bộ nhớ và CPU.
Ban đầu những kẻ tấn công sẽ khai thác lỗ hổng CVE-2025-26466 bằng cách gửi một loạt gói
SSH2_MSG_PINGđến máy chủ. Mỗi gói này khiến máy chủ tạo ra một góiSSH2_MSG_PONGvà lưu trữ trong bộ nhớ trước khi gửi đi.Từ việc gửi request liên tục và nếu số lượng gói
PINGđủ lớn, bộ nhớ của máy chủ có thể bị cạn kiệt, dẫn đến từ chối dịch vụ.Bên cạnh việc tiêu thụ bộ nhớ hệ thống của nạn nhân, những kẻ tấn công còn nhắm đến CPU.
Sau khi hoàn tất quá trình trao đổi khóa, máy chủ xử lý các gói
SSH2_MSG_PONGđã lưu trữ. Việc này được thực hiện không hiệu quả, dẫn đến việc sử dụng CPU tăng đột biến khi xử lý số lượng lớn gói, gây gián đoạn dịch vụ.
Dấu hiệu nhận biết
Dấu hiệu nhận biết bị tấn công CVE-2025-26465
Kết nối SSH bất thường:
Phát hiện các kết nối SSH đến từ địa chỉ IP không xác định hoặc không nằm trong danh sách tin cậy.
Lưu lượng SSH tăng đột biến hoặc xuất hiện vào những thời điểm không bình thường.
Cảnh báo xác thực khóa máy chủ:
Máy khách SSH hiển thị cảnh báo về việc thay đổi khóa máy chủ khi kết nối đến máy chủ quen thuộc.
Thông báo về việc không khớp khóa máy chủ hoặc yêu cầu xác nhận lại khóa máy chủ.
Lưu lượng mạng đáng ngờ:
Phát hiện lưu lượng mạng có dấu hiệu bị chặn hoặc chuyển hướng thông qua các thiết bị trung gian không xác định.
Sự xuất hiện của các gói tin bất thường hoặc không mong muốn trong quá trình thiết lập kết nối SSH.
Dấu hiệu nhận biết bị tấn công CVE-2025-26466
Sử dụng tài nguyên hệ thống bất thường:
Phát hiện mức tiêu thụ CPU và bộ nhớ tăng đột biến trên máy chủ OpenSSH mà không có lý do rõ ràng.
Hệ thống trở nên chậm chạp hoặc không phản hồi do tài nguyên bị chiếm dụng quá mức.
Lưu lượng mạng đáng ngờ:
Xuất hiện một lượng lớn gói tin
SSH2_MSG_PINGtừ một hoặc nhiều địa chỉ IP không xác định, gửi đến máy chủ trong khoảng thời gian ngắn.Lưu lượng SSH tăng đột biến mà không có sự gia tăng tương ứng trong hoạt động hợp pháp.
Sự cố dịch vụ SSH:
Dịch vụ SSH thường xuyên gặp sự cố, khởi động lại hoặc ngừng hoạt động mà không có lý do rõ ràng.
Quản trị viên gặp khó khăn khi kết nối hoặc quản lý máy chủ thông qua SSH do dịch vụ không ổn định.
Khuyến nghị
CVE-2025-26465 - Man-in-the-Middle Attack
Cập nhật lên OpenSSH 9.9p2 hoặc mới hơn.
Tắt
VerifyHostKeyDNSnếu không thực sự cần thiết.Sử dụng SSH fingerprint thủ công để xác thực máy chủ.
CVE-2025-26466 - Denial of Service Attack
Cập nhật lên OpenSSH 9.9p2 hoặc mới hơn.
Cấu hình giới hạn kết nối SSH, sử dụng
MaxStartups,LoginGraceTime,PerSourcePenalties.Giám sát lưu lượng SSH, phát hiện các hành vi bất thường.
Kết luận
Các nhà nghiên cứu bảo mật đã phát hiện hai lỗ hổng nghiêm trọng trong OpenSSH, cho phép kẻ tấn công thực hiện tấn công Man-in-the-Middle (MitM) và từ chối dịch vụ (DoS). Hai lỗ hổng này đặt ra rủi ro nghiêm trọng đối với máy chủ SSH công khai và các hệ thống sử dụng OpenSSH. Việc cập nhật phiên bản mới nhất và áp dụng các biện pháp bảo mật sẽ giúp giảm thiểu nguy cơ bị tấn công.
