OpenSSH kwetsbaar voor Man-in-the-Middle en Denial-of-Service aanvallen

Man-in-the-Middle aanval

De eerste kwetsbaarheid treft de OpenSSH-client wanneer de optie VerifyHostKeyDNS is ingeschakeld. Deze optie, die standaard is uitgeschakeld, is bedoeld om de identiteit van de server te verifiëren via DNS. Een kwaadwillende derde partij kan echter deze controle omzeilen en zich voordoen als de server, waardoor de client niet doorheeft dat er een onveilige verbinding tot stand wordt gebracht. Deze aanval is succesvol ongeacht of VerifyHostKeyDNS op "yes" of "ask" staat en vereist geen interactie van de gebruiker. De kwetsbaarheid werd in december 2014 geïntroduceerd. Hoewel VerifyHostKeyDNS standaard is uitgeschakeld, was het bijvoorbeeld op FreeBSD standaard ingeschakeld van september 2013 tot maart 2023.

Denial-of-Service aanval

De tweede kwetsbaarheid treft zowel de OpenSSH-client als de server en maakt een DoS-aanval mogelijk. Een aanvaller kan buitensporige hoeveelheden geheugen en CPU-capaciteit verbruiken, waardoor de server of client onbruikbaar wordt. Deze kwetsbaarheid werd in augustus 2023 geïntroduceerd. Aan de serverkant kan deze aanval worden afgemild door gebruik te maken van bestaande OpenSSH-mechanismen zoals LoginGraceTime, MaxStartups en, recenter, PerSourcePenalties.

Aanbevelingen

Gebruikers wordt aangeraden OpenSSH zo snel mogelijk bij te werken naar de nieuwste versie om deze kwetsbaarheden te verhelpen. Beheerders van OpenSSH-servers wordt geadviseerd de configuratie-opties LoginGraceTime, MaxStartups en PerSourcePenalties te controleren en indien nodig aan te passen om de impact van een DoS-aanval te minimaliseren. Indien VerifyHostKeyDNS is ingeschakeld, wordt aangeraden deze optie te heroverwegen.

Lees meer hier.