La Unidad de Investigación de Amenazas (TRU) de Qualys ha descubierto dos vulnerabilidades de alta gravedad en OpenSSH, la suite ampliamente utilizada para comunicaciones de red seguras.
Estas fallas, identificadas como CVE-2025-26465 y CVE-2025-26466, permiten ataques de máquina en el medio (MitM) contra clientes y vulnerabilidades de denegación de servicio (DoS) previas a la autenticación dirigidas tanto a clientes como a servidores.
Dado que OpenSSH es parte integral de la infraestructura empresarial, estas vulnerabilidades plantean riesgos importantes para la integridad de los datos, la disponibilidad del sistema y el cumplimiento normativo.
CVE-2025-26465: Ataque de máquina en el medio
Esta vulnerabilidad afecta a los clientes OpenSSH que ejecutan las versiones 6.8p1 a 9.9p1y surge cuando la opción VerifyHostKeyDNS está habilitada.
Aunque está deshabilitada de forma predeterminada, esta configuración se activó históricamente en FreeBSD y otras configuraciones, ampliando la superficie de ataque. Los atacantes que aprovechan esta falla pueden hacerse pasar por servidores legítimos al eludir la verificación de la clave del host, incluso cuando los registros DNS SSHFP están ausentes.
El ataque no requiere interacción del usuario, lo que permite la interceptación silenciosa de sesiones SSH. Esto compromete la confidencialidad y permite a los adversarios robar credenciales, manipular datos o acceder a sistemas internos.
Qualys enfatiza que la presencia de la falla durante 11 años (introducida en diciembre de 2014) subraya la necesidad de auditorías de configuración rigurosas.
CVE-2025-26466: Explotación DoS previa a la autenticación
Esta vulnerabilidad, que afecta a las versiones 9.5p1 a 9.9p1 de OpenSSH, permite a los atacantes agotar los recursos del servidor mediante un consumo asimétrico de CPU/memoria. Al inundar sesiones no autenticadas con paquetes SSH2_MSG_PING, los adversarios pueden paralizar los sistemas y bloquear a los administradores fuera de la infraestructura crítica.
Si bien existen mitigaciones del lado del servidor como LoginGraceTime y PerSourcePenalties, las protecciones del lado del cliente siguen no disponibles, lo que requiere parches inmediatos.
Mitigaciones
- Actualice a OpenSSH 9.9p2, que resuelve ambas vulnerabilidades.
- Deshabilite VerifyHostKeyDNS si está habilitado y aplique una verificación estricta de la clave del host a través de archivosknown_hosts.
- Configure las defensas del servidor: reduzca LoginGraceTime, limite las conexiones simultáneas a través de MaxStartups y aplique PerSourcePenalties para limitar las IP abusivas.
La vulnerabilidad MitM socava la promesa fundamental de SSH de una comunicación segura, permitiendo violaciones sigilosas que evaden el monitoreo tradicional. Para las empresas, esto corre el riesgo de no cumplir con GDPR, HIPAA y PCI-DSS debido a una posible filtración de datos.
La vulnerabilidad DoS interrumpe las operaciones comerciales al hacer que SSH no esté disponible. Este es un objetivo clave para los grupos de ransomware que pretenden provocar interrupciones operativas. El problema con CVE-2025-26466 es que los atacantes pueden explotarlo sin necesidad de robar credenciales, lo que les facilita el acceso.
Como señala Qualys, el papel de OpenSSH en la infraestructura global exige una vigilancia inquebrantable. Las organizaciones que no actúan corren el riesgo de sufrir graves consecuencias financieras, legales y de reputación debido a infracciones evitables.
