Ein Sicherheitsbericht von Qualys vom 18.02.2025 hat zwei schwerwiegende Schwachstellen in OpenSSH ans Licht gebracht, die das Risiko von Man-in-the-Middle-Angriffen (MitM) sowie Denial-of-Service (DoS) Attacken erhöhen.
MitM-Angriff durch fehlerhafte Host Key-Überprüfung
Die erste Schwachstelle (CVE-2025-26465) betrifft den OpenSSH-Client, wenn die Option VerifyHostKeyDNS aktiviert ist – eine Einstellung, die standardmäßig deaktiviert ist, jedoch in einigen Systemen (wie beispielsweise FreeBSD bis März 2023) voreingestellt war. Bei aktivierter Option kann ein Angreifer als aktiver MitM agieren und den Server erfolgreich imitieren, indem er einen Fehler in der Überprüfung des Host-Keys ausnutzt. Konkret wird eine unzureichende Fehlerbehandlung in der Funktion, die den Host-Key validiert, ausgenutzt: Statt einen Fehler korrekt zu erkennen und abzubrechen, wird in bestimmten Fällen ein Fehlercode ignoriert. Das Ergebnis ist, dass der Client einen manipulierten Host-Key als gültig interpretiert – und somit eine sichere Verbindung zu einem gefälschten Server aufbaut.
DoS-Angriff durch Ressourcenerschöpfung
Die zweite Schwachstelle (CVE-2025-26466) betrifft sowohl den OpenSSH-Client als auch den Server und führt zu einer Denial-of-Service-Situation. Hierbei wird während des anfänglichen Schlüsselaustauschs ein PING/PONG-Mechanismus missbraucht. Jeder empfangene PING-Paket löst die Zwischenspeicherung eines entsprechenden PONG-Pakets aus – jedoch erfolgt das Senden dieser Pakete erst verspätet. Dieser Puffermechanismus führt zu einer unkontrollierten Anhäufung von Speicher, die sowohl beim Client als auch beim Server zu einer Ressourcenerschöpfung führen kann. Zusätzlich verursacht das anschließende, ineffiziente Re-Puffern der Daten eine quadratische Steigerung des CPU-Aufwands. Auf der Serverseite können bereits existierende Konfigurationsparameter wie LoginGraceTime, MaxStartups und PerSourcePenalties dabei helfen, den Schaden zu begrenzen – eine vergleichbare Absicherung fehlt jedoch auf Client-Seite.
Die Schwachstellen wurden in einer koordinierten Veröffentlichung am 18. Februar 2025 bekanntgegeben. Während betroffene Systeme, die kritische Optionen wie VerifyHostKeyDNS aktiviert haben, dringend einer Überprüfung bedürfen, sollten Administratoren zudem sicherstellen, dass auf Servern die entsprechenden Ressourcenbeschränkungen konfiguriert sind, um DoS-Attacken abzufedern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: