OpenSSH の脆弱性 CVE-2025-26465/26466 が FIX:MiTM と DoS 攻撃の可能性

New OpenSSH flaws expose SSH servers to MiTM and DoS attacks

2025/02/18 BleepingComputer — OpenSSH が公表したのは、MitM (machine-in-the-middle) とサービス拒否の、2つの脆弱性に対処するセキュリティ・アップデートのリリースである。この脆弱性のうちの1つは 10年以上も前に混入したものである。この2つの脆弱性を発見した Qualys は、OpenSSH のメンテナーたちに対して、その悪用の可能性を実証したという。

OpenSSH (Open Secure Shell) は、SSH (Secure Shell) プロトコルを無料で実装する OSS プロジェクトであり、信頼できないネットワーク上における、安全なリモート・アクセス/ファイル転送/トンネリングのための暗号化通信を提供している。

世界で最も広く使用されているツールの1つである OpenSSH は、エンタープライズ/IT/DevOps/クラウド/サイバー・セキュリティ・アプリケーションなどで使用されている、 Linux/Unix BSD/macOS などのシステム上で採用されている。

2つの脆弱性

MiTM の脆弱性 CVE-2025-26465 は、2014年12月の時点で OpenSSH のリリース 6.8p1 で混入したものであり、その後の 10年以上にわたり検出されなかったものだ。

この欠陥は、”VerifyHostKeyDNS” オプションが有効かされている OpenSSH クライアントに影響を及ぼし、脅威アクターに対して MitM 攻撃の実行を許すものである。

Qualys は、「OpenSSH クライアントの脆弱性 CVE-2025-26465 に対する攻撃は、VerifyHostKeyDNS オプションが “yes”/ “ask” に設定されている場合に成功し、デフォルトである “no” の場合は失敗する。また、ユーザーの操作は必要なく、DNS における SSHFP リソース・レコード (SSH フィンガープリント) の存在の有無には関係しない」と説明している

このオプションが有効化されている場合には、不適切なエラー処理が発生する。したがって攻撃者は、検証中にメモリ不足エラーを強制的に発生させ、クライアントを騙すことで、不正なサーバのキーの受け入れを成功させる。

SSH 接続を傍受し、過剰な証明書拡張を持つ大きな SSH キーを提示する攻撃者は、クライアントのメモリを枯渇させ、ホスト検証をバイパスし、セッションを乗っ取っることで認証情報を盗み出し、コマンドの挿入によるデータ窃取を可能にする。

OpenSSH のデフォルトでは “VerifyHostKeyDNS” オプションは無効化されているが、2013 年〜2023 年の FreeBSD 版ではデフォルトで有効化されており、多くのシステムが危険な状態にあるという。

2つ目の脆弱性 CVE-2025-26466 は、2023年8月にリリースされた OpenSSH 9.5p1 で混入した認証を必要としないサービス拒否の欠陥である。この問題は、キー交換中に無制限のメモリ割り当てが行われることで発生し、制御不能なリソース消費につながるという。

攻撃者が、16 Byte 小さな ping メッセージを繰り返して送信すると、OpenSSH には、256 Byte のレスポンスをバッファリングする必要性が生じる。キーの交換中において、これらのレスポンスは無期限で保存されるため、メモリ消費量の増加と CPU の過負荷につながり、システム・クラッシュの可能性が生じる。

1つ目の脆弱性 CVE-2025-26465 と比べて、2つ目の CVE-2025-26466 は、悪用による影響が深刻ではないかもしれないが、認証を必要とせずに悪用できるため、混乱のリスクを高めるものとなる。

セキュリティ更新のリリース

2025年02月18日に OpenSSH チームは、この2つの脆弱性に対処する、バージョン 9.9p2 を公開した。ユーザーに対して強く推奨されるのは、可能な限り早急に、この最新リリースへと移行することだ。

さらに、不要な場合には VerifyHostKeyDNS を無効化し、手動のキー・フィンガープリント検証を使用して、SSH 接続のセキュリティを確保することが推奨される。

DoS 問題に関して、管理者は接続レート制限を厳格に適用し、SSH トラフィックの異常なパターンを監視し、潜在的な攻撃を早期に阻止する必要がある。

この2つの欠陥に関する技術的な詳細は、Qualys のページから入手できる。

OpenSSH の脆弱性 CVE-2025-26465/26466 が FIX しました。CVE-2025-26465 に関しては、2014年12月に混入して以来、10年以上にわたり検出されなかったものとのことです。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、OpenSSH で検索も、ご参照下さい。