La Unidad de Investigación de Amenazas de Qualys ha descubierto dos vulnerabilidades en OpenSSH, una implementación de código abierto del protocolo SSH que hace posibles las comunicaciones cifradas y que es común en Linux, macOS y otros sistemas operativos.
La primera de estas vulnerabilidades (CVE-2025-26465) afecta a OpenSSH entre las versiones 6.8 y 9.9.
Su peligro radica en que permite ejecutar ataques Man-in-the-Middle (MITM) cuando la opción VerifyHostKeyDNS está habilitada.
Esto no requiere de interacción por parte del usuario usuario y tampoco depende de que exista un registro de recursos en el DNS.
En caso de ataque, el sistema cliente acepta la clave del intruso en vez de la clave legítima del servidor, dando lugar a intercepciones y manipulaciones de las sesiones sin que el usuario se dé cuenta.
Al comprometer el sistema, el ciberdelincuente es capaz de moverse lateralmente, visualizar datos, manipularlos y exfiltrar información.
La segunda vulnerabilidad (CVE-2025-26466) hace daño a clientes y servidores a través de ataques de denegación de servicio (DDoS) sin necesidad de autenticación.
Quien se aprovecha de ella puede causar cortes prolongados, impedir que los administradores gestionen los servidores y bloquear a los usuarios legítimos.
CVE-2025-26466 afecta a versiones más recientes que CVE-2025-26465, concretamente desde la versión 9.5 hasta la 9.9 de OpenSSH.
“La trayectoria de OpenSSH en el mantenimiento de la confidencialidad y la integridad de los datos lo ha convertido en un referente en software de seguridad”, apunta Sergio Pedroche, Country Manager de Qualys España y Portugal, “pero es cierto que estas vulnerabilidades pueden provocar daños a la reputación, infringir normas como GDPR, HIPAA” o “PCI-DSS”, señala, “e incluso provocar la interrupción de las operaciones más críticas”.
Qualys aconseja actualizar los sistemas afectados a la versión más reciente de OpenSSH. También se pueden mitigar las vulnerabilidades en la parte del servidor con mecanismos como LoginGraceTime, MaxStartups y PerSourcePenalties.
El edge computing es una tecnología clave para el desarrollo de un internet de las…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Asistimos al primer encuentro con los medios de Paco Salcedo como presidente de Microsoft España,…
Kaspersky presentó en León su estrategia de canal 2025, destacando el crecimiento en MSP/MSSP, la…
Respaldado por el centro de capacidades de DXC en Zaragoza, cuenta con más de un…
La solución de EasyVista aglutina gestión de servicios de TI y de dispositivos, monitorización de…
