Qualys OpenSSH DDoS Vulnerability

Der Angriff auf den OpenSSH-Client (CVE-2025-26465) ist unabhängig davon, ob die Option VerifyHostKeyDNS auf „yes“ oder „ask“ gesetzt ist (die Standardeinstellung ist „no“), erfolgreich, erfordert keine Benutzerinteraktion und hängt nicht von der Existenz eines SSHFP-Ressourceneintrags (eines SSH-Fingerprints) im DNS ab. VerifyHostKeyDNS ist eine OpenSSH-Clientkonfigurationsoption, die es dem SSH-Client ermöglicht, den Hostschlüssel eines Servers anhand von DNS-Einträgen (insbesondere SSHFP-Einträgen) zu suchen und zu überprüfen. Die Schwachstelle wurde im Dezember 2014 kurz vor der Veröffentlichung von OpenSSH 6.8p1 bekannt. Obwohl VerifyHostKeyDNS standardmäßig deaktiviert ist, war es unter FreeBSD von September 2013 bis März 2023 standardmäßig aktiviert.

Der OpenSSH-Client und -Server sind anfällig (CVE-2025-26466) für einen Denial-of-Service-Angriff vor der Authentifikation – eine asymmetrische Nutzung von Speicher- und CPU-Ressourcen -, der im August 2023 (kurz vor der Veröffentlichung von OpenSSH 9.5p1) eingeführt wurde. Auf der Serverseite kann dieser Angriff durch die Verwendung bestehender Mechanismen in OpenSSH, wie LoginGraceTime, MaxStartups und die neueren PerSourcePenalties, abgeschwächt werden.

Empfohlene Maßnahme: OpenSSH 9.9p2 behebt die oben genannten Schwachstellen. Um die Sicherheit weiterhin zu gewährleisten, empfehlen wir dringend, betroffene Systeme so schnell wie möglich auf 9.9p2 zu aktualisieren.

Über OpenSSH: Sichere Unternehmenskommunikation und -infrastruktur

OpenSSH ist eine kostenlose Open-Source-Implementierung des Secure Shell (SSH)-Protokolls, das verschlüsselte Kommunikation über unsichere Netzwerke ermöglicht. Es ist in Unix-ähnlichen Systemen (einschließlich Linux und macOS) und vielen modernen Betriebssystemen weit verbreitet und ersetzt Klartextprotokolle wie Telnet und FTP durch sichere Remote-Anmeldung, Dateiübertragung, Port-Weiterleitung und Tunneling.

Mit robuster Verschlüsselung, Privilegientrennung, Sandboxing und modernen Speicherverteilern minimiert OpenSSH das Risiko von Speicherschwachstellen und unberechtigtem Zugriff. Die Skalierbarkeit auf Unternehmensebene unterstützt automatisierte Prozesse, Backups und komplexe DevOps-Workflows – und das alles bei gleichzeitiger Durchsetzung strenger Zugriffskontrollen. Trotz dieser beiden Schwachstellen hat sich OpenSSH aufgrund seiner Erfolgsgeschichte bei der Aufrechterhaltung von Vertraulichkeit und Integrität zu einem Maßstab für Softwaresicherheit entwickelt und gewährleistet sichere Kommunikation für Organisationen weltweit.

Betroffene OpenSSH-Versionen:

• OpenSSH-Versionen von 6.8p1 bis 9.9p1 sind anfällig für CVE-2025-26465, den Fehler, der im Dezember 2014 bekannt wurde.
• OpenSSH-Versionen 9.5p1 bis 9.9p1 sind anfällig für CVE-2025-26466, den Fehler, der im August 2023 bekannt wurde.

OpenSSH 9.9p2 behebt die oben genannten Verwundbarkeiten. Führen Sie umgehend ein Upgrade durch, um Ihre Sicherheit zu gewährleisten.

Technische Details

Die technischen Details dieser Schwachstelle finden Sie unter https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt

Erkennung und Behebung von CVE-2025-26466 und CVE-2025-26465 mit Qualys TotalCloud Container Security

Qualys TotalCloud Container Security bietet umfassende Abdeckung und Transparenz in Bezug auf Schwachstellen in allen Container-Umgebungen, einschließlich gemanagter und lokaler Kubernetes-Umgebungen. So können Unternehmen schnell auf Risiken reagieren, diese priorisieren und effektiv mindern.

Nutzen Sie die Leistungsfähigkeit von Qualys TotalCloud Container Security und der Qualys Query Language (QQL), um anfällige Assets effizient zu identifizieren und zu priorisieren sowie eine schnelle und effektive Behebung der durch CVE-2025-26466 und CVE-2025-26465 identifizierten Schwachstellen zu gewährleisten.

Nutzen Sie dieses QQL Statement:

state:`RUNNING` and vulnerabilities.cveids:CVE-2025-26466 or CVE-2025-26465

Schlussfolgerung

Qualys empfiehlt allen Kunden und Anwendern dringend, auf die neueste Version von OpenSSH zu aktualisieren, um potenzielle Sicherheitslücken zu schließen. Das OpenSSH-Projekt ist seit langem dafür bekannt, sicheren Fernzugriff zu ermöglichen, und diese neue Version unterstreicht sein Engagement für den Schutz der Benutzergemeinschaft. Mit dem Upgrade erhalten Anwender Zugang zu wichtigen Sicherheitsverbesserungen und den fortschrittlichsten Funktionen, die das OpenSSH-Projekt zu bieten hat.

The attack against the OpenSSH client (CVE-2025-26465) succeeds regardless of whether the VerifyHostKeyDNS option is set to “yes” or “ask” (its default is “no”), requires no user interaction, and does not depend on the existence of an SSHFP resource record (an SSH fingerprint) in DNS. VerifyHostKeyDNS is an OpenSSH client configuration option that lets the SSH client look up and verify a server’s host key using DNS records (specifically, SSHFP records). The vulnerability was introduced in December 2014, just before the release of OpenSSH 6.8p1. Although VerifyHostKeyDNS is disabled by default, it was enabled by default on FreeBSD from September 2013 until March 2023.

The OpenSSH client and server are vulnerable (CVE-2025-26466) to a pre-authentication denial-of-service attack–an asymmetric resource consumption of both memory and CPU–that was introduced in August 2023 (shortly before the release of OpenSSH 9.5p1). On the server side, this attack can be mitigated by leveraging existing mechanisms in OpenSSH, such as LoginGraceTime, MaxStartups, and the more recent PerSourcePenalties.

Recommended Action: OpenSSH 9.9p2 addresses these vulnerabilities mentioned above. To ensure continued security, we strongly advise upgrading affected systems to 9.9p2 as soon as possible.

About OpenSSH: Securing Enterprise Communications and Infrastructure

OpenSSH is a free, open-source implementation of the Secure Shell (SSH) protocol that enables encrypted communications over insecure networks. Widely adopted across Unix-like systems (including Linux and macOS) and many modern operating systems, it replaces clear-text protocols such as Telnet and FTP by providing secure remote login, file transfers, port forwarding, and tunneling.

With robust encryption, privilege separation, sandboxing, and modern memory allocators, OpenSSH minimizes the risk of memory-related vulnerabilities and unauthorized access. Its enterprise-grade scalability supports automated processes, data backups, and complex DevOps workflows—all while enforcing strong access controls. Despite these two vulnerabilities, OpenSSH’s overall track record in maintaining confidentiality and integrity has made it a benchmark in software security, ensuring secure communications for organizations worldwide.

Affected OpenSSH versions:

• OpenSSH versions from 6.8p1 through 9.9p1 are vulnerable to CVE-2025-26465, the flaw introduced in December 2014.
• OpenSSH versions 9.5p1 through 9.9p1 are vulnerable to CVE-2025-26466, the flaw introduced in August 2023.

OpenSSH 9.9p2 addresses the vulnerabilities mentioned above. Upgrade promptly to maintain security.

Potential Impact

If an attacker can perform a man-in-the-middle attack via CVE-2025-26465, the client may accept the attacker’s key instead of the legitimate server’s key. This would break the integrity of the SSH connection, enabling potential interception or tampering with the session before the user even realizes it. SSH sessions can be a prime target for attackers aiming to intercept credentials or hijack sessions. If compromised, hackers could view or manipulate sensitive data, move across multiple critical servers laterally, and exfiltrate valuable information such as database credentials. Such breaches can lead to reputational damage, violate compliance mandates (e.g., GDPR, HIPAA, PCI-DSS), and potentially disrupt critical operations by forcing system downtime to contain the threat.

SSH is a critical service for remote system administration. If attackers can repeatedly exploit the flaw CVE-2025-26466, they may cause prolonged outages or prevent administrators from managing servers, effectively locking legitimate users out. An enterprise facing this vulnerability could see critical servers become unreachable, interrupting routine operations and stalling essential maintenance tasks.

When the Qualys research team confirmed the vulnerability, Qualys initiated a responsible disclosure process and worked with OpenSSH to coordinate its announcement.

Technical Details

You can find the technical details of this vulnerability at:

https://www.qualys.com/2025/02/18/openssh-mitm-dos.txt

Detect and remediate CVE-2025-26466 and CVE-2025-26465 with Qualys TotalCloud Container Security

Qualys TotalCloud Container Security offers comprehensive coverage and visibility into vulnerabilities across all your container environments, including managed Kubernetes and on-premises Kubernetes. This empowers organizations to rapidly respond to, prioritize, and mitigate associated risks effectively.

Leverage the power of Qualys TotalCloud Container Security and the Qualys Query Language (QQL) to efficiently identify and prioritize vulnerable assets, ensuring prompt and effective remediation of the vulnerabilities highlighted by CVE-2025-26466 and CVE-2025-26465.

Use this QQL statement:

state:`RUNNING` and vulnerabilities.cveids:CVE-2025-26466 or CVE-2025-26465

Conclusion

Qualys strongly recommends that all customers and users upgrade to the latest version of OpenSSH to address potential security vulnerabilities. The OpenSSH project has a longstanding reputation for delivering secure remote access, and this new release underscores its commitment to protecting the user community. By upgrading, users gain access to critical security improvements and the most advanced features offered by the OpenSSH project.