Sommario
Il mondo della sicurezza informatica è nuovamente scosso da una scoperta preoccupante: due vulnerabilità critiche in OpenSSH, il software open-source utilizzato per proteggere milioni di connessioni remote in tutto il mondo. Qualys Threat Research Unit (TRU) ha individuato e divulgato dettagli su queste falle, identificate con i codici CVE-2025-26465 e CVE-2025-26466, che rappresentano un rischio significativo per la sicurezza delle comunicazioni SSH.
Il primo problema riguarda un attacco di man-in-the-middle che colpisce il client OpenSSH, mentre il secondo consente di eseguire un attacco denial-of-service pre-autenticazione sia sul client che sul server. Questi bug, presenti in numerose versioni di OpenSSH, espongono gli utenti a potenziali compromissioni, perdita di dati e interruzioni operative.
Cos’è OpenSSH e perché è così importante?
OpenSSH è la soluzione di riferimento per la gestione remota sicura su sistemi Unix, Linux e macOS. Fornisce un canale di comunicazione criptato tra client e server, proteggendo l’integrità dei dati e impedendo intercettazioni. Il protocollo è utilizzato in una varietà di contesti:
- Accesso remoto ai server
- Automazione di processi IT
- Backup sicuri
- Gestione di dispositivi di rete
A causa della sua diffusione globale, qualsiasi vulnerabilità in OpenSSH può avere conseguenze devastanti, specialmente per aziende, provider di cloud computing e infrastrutture critiche.
Analisi delle vulnerabilità scoperte da Qualys
CVE-2025-26465: Attacco Man-in-the-Middle
La vulnerabilità CVE-2025-26465 colpisce il client OpenSSH e sfrutta la funzione VerifyHostKeyDNS, un’opzione che permette al client di verificare la chiave host di un server SSH attraverso i record DNS. Il problema nasce dal fatto che, quando questa opzione è attiva, il client può essere ingannato ad accettare una chiave falsa, compromettendo la sicurezza della connessione.
Come funziona l’attacco?
- L’attaccante intercetta una connessione SSH tra il client e il server.
- Sostituisce la chiave host originale con una chiave falsificata.
- Il client, ingannato dalla verifica DNS, accetta la chiave compromessa senza alcuna notifica.
- L’attaccante ottiene accesso ai dati trasmessi, potendo intercettare credenziali e comandi.
Questa vulnerabilità è particolarmente pericolosa in ambienti dove la verifica delle chiavi host tramite DNS è attivata di default, come avveniva su FreeBSD tra il 2013 e il 2023.
CVE-2025-26466: Denial-of-Service su Client e Server
La seconda vulnerabilità, CVE-2025-26466, permette a un attaccante di lanciare un attacco DoS pre-autenticazione contro client e server OpenSSH. Il bug è stato introdotto nel codice a partire da OpenSSH 9.5p1 e colpisce tutte le versioni fino alla 9.9p1.
Quali sono i rischi?
Un hacker può sfruttare questa falla per:
- Saturare la CPU e la memoria di un server SSH, impedendone l’utilizzo.
- Interrompere l’accesso remoto ai sistemi, rendendo impossibile la gestione di infrastrutture critiche.
- Bloccare connessioni SSH multiple, creando un effetto a catena su intere reti aziendali.
I ricercatori di Qualys hanno evidenziato che il bug è particolarmente grave per servizi di hosting, provider cloud e ambienti con elevato traffico SSH, dove un attacco mirato potrebbe causare downtime significativi.
Le versioni di OpenSSH vulnerabili
Secondo il rapporto di Qualys, le seguenti versioni di OpenSSH sono affette dalle vulnerabilità:
| Vulnerabilità | Versioni affette | Impatto |
|---|---|---|
| CVE-2025-26465 | OpenSSH 6.8p1 – 9.9p1 | Attacco Man-in-the-Middle |
| CVE-2025-26466 | OpenSSH 9.5p1 – 9.9p1 | Denial-of-Service pre-autenticazione |
Per mitigare il rischio, è fondamentale aggiornare immediatamente a OpenSSH 9.9p2, che risolve entrambi i problemi.
Quali sono i rischi concreti per le aziende?
Le due vulnerabilità possono avere impatti devastanti:
- Violazione delle credenziali SSH → Un attacco man-in-the-middle può portare al furto di dati sensibili e accesso non autorizzato ai server.
- Interruzione dei servizi → Un attacco DoS può rendere inutilizzabili i server SSH, con conseguenze critiche per le aziende che dipendono dall’accesso remoto per la gestione delle loro infrastrutture.
- Esposizione di dati sensibili → Gli attaccanti possono intercettare traffico SSH per ottenere informazioni su database, backup e altre operazioni aziendali.
- Conformità e sanzioni → Aziende soggette a regolamenti come GDPR, HIPAA e PCI-DSS potrebbero incorrere in violazioni di conformità e multe salate se non aggiornano tempestivamente i loro sistemi.
Come mitigare le vulnerabilità?
Oltre ad aggiornare OpenSSH alla versione 9.9p2, gli esperti di sicurezza consigliano di implementare le seguenti misure preventive:
- Disattivare VerifyHostKeyDNS nel file di configurazione del client OpenSSH.
- Abilitare sistemi di monitoraggio del traffico SSH per rilevare attività sospette.
- Implementare parametri di protezione sui server, come LoginGraceTime e MaxStartups, per limitare gli effetti di un attacco DoS.
- Utilizzare VPN o tunnel crittografati per ridurre il rischio di attacchi man-in-the-middle.
Le aziende che gestiscono grandi infrastrutture cloud dovrebbero anche valutare l’uso di Qualys CyberSecurity Asset Management per individuare asset vulnerabili e applicare patch rapidamente.
L’importanza di aggiornare OpenSSH
Le vulnerabilità CVE-2025-26465 e CVE-2025-26466 evidenziano ancora una volta come anche i software più sicuri possano essere esposti a nuove minacce. OpenSSH è uno dei protocolli più critici nel panorama IT, utilizzato per la gestione di milioni di server in tutto il mondo.
Per mitigare il rischio di compromissione, è essenziale che amministratori di sistema e aziende aggiornino immediatamente OpenSSH 9.9p2, rafforzino le loro strategie di sicurezza e implementino misure di protezione avanzate.
Solo con un approccio proattivo è possibile garantire la sicurezza delle comunicazioni crittografate e prevenire attacchi potenzialmente devastanti.
