OpenSSH, una de las herramientas más utilizadas en la administración remota de servidores y la transmisión segura de datos, ha sido recientemente objeto de una serie de vulnerabilidades críticas que ponen en riesgo la integridad y la seguridad de múltiples sistemas en todo el mundo. Investigadores de la firma Qualys han descubierto dos fallos de seguridad identificados como CVE-2025-26465 y CVE-2025-26466, los cuales permiten ataques Man-in-the-Middle (MitM) y Denegación de Servicio (DoS).
Descripción de las vulnerabilidades
CVE-2025-26465: Explotación de VerifyHostKeyDNS para ataques Man-in-the-Middle
Esta vulnerabilidad afecta a versiones de OpenSSH desde 6.8p1 hasta 9.9p1 y ha estado presente desde 2014, lo que la convierte en un problema de seguridad de larga data. Su explotación es posible cuando la opción VerifyHostKeyDNS está habilitada, permitiendo a un atacante interceptar conexiones SSH y engañar a los clientes para que acepten claves de servidores no autorizados. Esto otorga a los atacantes la capacidad de robar credenciales, manipular sesiones y ejecutar comandos maliciosos en sistemas comprometidos.
El problema radica en un error en la validación de claves del host dentro de la función verify_host_key_callback(), donde un atacante puede forzar un error de asignación de memoria (SSH_ERR_ALLOC_FAIL) y así eludir la verificación legítima del servidor SSH. Este ataque puede ser utilizado para espiar comunicaciones cifradas, modificar datos en tránsito y secuestrar sesiones SSH activas.
CVE-2025-26466: Denegación de Servicio (DoS) mediante consumo asimétrico de recursos
Esta vulnerabilidad es más reciente, presente desde OpenSSH 9.5p1 hasta 9.9p1, y permite a los atacantes lanzar ataques de denegación de servicio contra servidores SSH. El fallo se produce debido a un problema en el manejo de paquetes SSH2_MSG_PING y SSH2_MSG_PONG durante el intercambio de claves SSH, lo que permite el consumo excesivo de memoria y CPU.
Este problema se manifiesta de dos formas:
- Ataque de Consumo de Memoria:
- Un atacante envía múltiples paquetes SSH2_MSG_PING.
- El servidor responde con SSH2_MSG_PONG y almacena las respuestas en memoria antes de enviarlas.
- Durante el intercambio de claves, estas respuestas no se liberan correctamente, provocando un agotamiento de memoria.
- Ataque de Consumo de CPU:
- Al finalizar el intercambio de claves, el servidor procesa los paquetes almacenados de manera ineficiente.
- Debido a la complejidad cuadrática (O(n²)) en la reubicación de buffers, el consumo de CPU se dispara.
- Esto puede resultar en bloqueos del servidor y fallos en la autenticación de nuevos usuarios.
Impacto de las vulnerabilidades
La gravedad de estas vulnerabilidades radica en la amplia adopción de OpenSSH en entornos empresariales y gubernamentales. La posibilidad de interceptar credenciales SSH y causar bloqueos en servidores críticos representa un riesgo significativo para la seguridad de infraestructuras digitales.
Riesgos principales:
- Compromiso de credenciales SSH: Ataques MitM pueden llevar al robo de credenciales de acceso.
- Manipulación de datos en tránsito: Un atacante podría modificar comandos SSH antes de que lleguen al servidor.
- Caída de servicios críticos: Ataques DoS pueden bloquear servidores de producción, afectando la disponibilidad de servicios.
Medidas de mitigación y soluciones
Para protegerse contra estas vulnerabilidades, se recomienda aplicar las siguientes medidas:
1. Actualizar OpenSSH
La solución principal es actualizar OpenSSH a la versión 9.9p2, que corrige ambos fallos de seguridad. Se recomienda realizar esta actualización de inmediato en todos los servidores y clientes afectados.
2. Deshabilitar VerifyHostKeyDNS
Dado que la vulnerabilidad MitM afecta a clientes con VerifyHostKeyDNS activado, se recomienda deshabilitar esta opción en los archivos de configuración de SSH (ssh_config) para evitar posibles ataques.
3. Implementar restricciones de conexión
Para mitigar el impacto de ataques DoS:
- Configurar LoginGraceTime, MaxStartups y PerSourcePenalties para limitar intentos de conexión maliciosos.
- Usar herramientas de detección de intrusos (IDS) para monitorear tráfico SSH sospechoso.
4. Monitoreo activo del tráfico SSH
Es fundamental analizar registros de acceso SSH y emplear sistemas de detección de anomalías para identificar intentos de explotación en tiempo real.
Conclusión
Las vulnerabilidades en OpenSSH destacan la importancia de mantener actualizados los sistemas críticos y aplicar prácticas de seguridad adecuadas. Administradores de sistemas y empresas deben priorizar la mitigación de estos riesgos mediante la actualización inmediata a OpenSSH 9.9p2, la revisión de configuraciones de seguridad y la implementación de monitoreo proactivo.
