OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)

Qualys 脅威研究ユニット (TRU) はOpenSSHの重大な脆弱性(CVE-2025-26465,CVE-2025-26466)と、この脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性を指摘しています。

脆弱性の対象バージョン

• CVE-2025-26465（MITM攻撃の脆弱性）：OpenSSH 6.8p1 〜 9.9p1
• CVE-2025-26466（DoS攻撃の脆弱性）：OpenSSH 9.5p1 〜 9.9p1

対策バージョン

OpenSSH 9.9p2（両方の脆弱性が修正済み）

脆弱性 CVE-2025-26465の概要

この脆弱性は2014 年 12 月に OpenSSH 6.8p1 のリリースとともに導入されたため、この問題は 10 年以上検出されませんでした。

この脆弱性は、「VerifyHostKeyDNS」オプションが有効になっている場合に OpenSSH クライアントに影響を及ぼし、脅威アクターが MitM 攻撃(中間者攻撃)を実行できるようになります。

なお、Qualysは「VerifyHostKeyDNS オプションが「yes」または「ask」(デフォルトは「no」) に設定されているかどうかに関係なく成功し、ユーザーの操作は必要なく、DNS 内の SSHFP リソース レコード (SSH フィンガープリント) の存在に依存しません」としています。

FreeBSDでは10年間 VerifyHostKeyDNSオプションが有効

また、OpenSSH では「VerifyHostKeyDNS」オプションはデフォルトで無効になっていますが、FreeBSD では 2013 年から 2023 年までデフォルトで有効になっていたため、多くのシステムがこれらの攻撃にさらされていた可能性があります。

脆弱性 CVE-2025-26466 の概要

この脆弱性はOpenSSHのクライアントとサーバーの両方に影響を与えます。この欠陥を悪用すると、攻撃者は認証前に過剰なメモリとCPUリソースを消費させることで、サーバーを過負荷状態に陥れ、システムの停止を引き起こすことができます。

2023 年 8 月にリリースされた OpenSSH 9.5p1 で導入された認証前のサービス拒否の脆弱性になります。

対策

本脆弱性への対策として、対策バージョンへのアップデート

・VerifyHostKeyDNS の無効化、手動のキー フィンガープリントによる検証

・厳格な接続ルート制限と異常検知の監視

が必要となっています。