Securityonderzoekers van Qualys hebben twee ernstige kwetsbaarheden aangetroffen in OpenSSH. De ergste hiervan stelt kwaadwillenden in staat om man-in-the-middleaanvallen uit te voeren.
OpenSSH - dat ook in de industrie regelmatig wordt toegepast - is een veelgebruikte software die wordt ingezet voor het op afstand beheren van systemen en het beveiligd inloggen op servers. Het wordt niet alleen in IT-omgevingen gebruikt, maar ook in de industrie, waar het een cruciale rol speelt in het beveiligen van netwerken en het verzekeren van betrouwbare communicatie tussen apparaten.
De eerste kwetsbaarheid, CVE-2025-26465, treft gebruikers die werken met de VerifyHostKeyDNS-functionaliteit. Een aanvaller kan hierbij de identiteitscontrole van de server omzeilen, ongeacht of deze optie op 'yes' of 'ask' staat ingesteld. Dit lek is al sinds december 2014 aanwezig in de software en treft alle versies vanaf 6.8p1 tot en met 9.9p1.
Daarnaast is CVE-2025-26466 ontdekt, een tweede beveiligingslek dat servers kwetsbaar maakt voor denial-of-serviceaanvallen. Dit probleem, dat sinds augustus 2023 in de code zit, treft de versies 9.5p1 tot en met 9.9p1. Een aanvaller kan hierbij het geheugen en de processor van een systeem overbelasten voordat authenticatie plaatsvindt.
Het beveiligingsteam heeft direct een update uitgebracht om deze problemen te verhelpen. Systeembeheerders wordt aangeraden om zo snel mogelijk te upgraden naar OpenSSH 9.9p2. De VerifyHostKeyDNS-optie staat standaard uitgeschakeld, maar Qualys wijst erop dat deze optie op FreeBSD-installaties tussen september 2013 en maart 2023 wel standaard aan stond.