Qualys, Inc., proveedor líder de soluciones de cumplimiento y seguridad basadas en la nube, ha hecho público el descubrimiento de dos nuevas vulnerabilidades en OpenSSH. Detectadas por la Unidad de Investigación de Amenazas (TRU) de Qualys, la primera de estas vulnerabilidades (CVE-2025-26465) permite realizar ataques activos Man-in-the-Middle contra clientes OpenSSH, mientras que la segunda (CVE-2025-26466) afecta tanto a clientes como a servidores permitiendo ataques de denegación de servicio (DDoS).

OpenSSH es una implementación Open Source del protocolo Secure Shell (SSH) que permite comunicaciones cifradas a través de redes inseguras. Ampliamente adoptado en dispositivos Linux, macOS y otros sistemas operativos modernos, reemplaza protocolos como Telnet o FTP proporcionando inicio de sesión remoto seguro, transferencia de archivos o gestión de puertos para minimizar el riesgo de vulnerabilidades.

Los ataques con CVE-2025-26465, viables cuando la opción VerifyHostKeyDNS está habilitada, no requieren interacción del usuario ni dependen de la existencia de un registro de recursos en el DNS. La vulnerabilidad apareció a finales de 2014, justo antes del lanzamiento de la versión 6.8 de OpenSSH. Aunque en las versiones actuales VerifyHostKeyDNS está deshabilitado por defecto, estuvo habilitado en versiones anteriores desde 2013 hasta marzo de 2023.

Por su parte, CVE-2025-26466 afecta tanto a clientes como a servidores con la posibilidad de sufrir ataques DDoS sin necesidad de autenticarse. Fue detectada por primera vez en agosto de 2023, poco antes del lanzamiento de OpenSSH 9.5.

Impacto potencial
Si sufre un ataque Man-in-the-Middle a través de CVE-2025-26465, el sistema cliente aceptará la clave del atacante en lugar de la clave legítima del servidor, quebrando la integridad de la conexión SSH y permitiendo posibles intercepciones o manipulaciones de las sesiones sin que el usuario lo note siquiera. Una vez comprometido el sistema, el hacker podrá visualizar y manipular datos sensibles, moverse lateralmente entre servidores o exfiltrar información.

En cuanto al fallo CVE-2025-26466, dado que SSH es un servicio crítico para la administración remota, los atacantes podrían causar cortes prolongados o imposibilitar a los administradores la gestión de los servidores bloqueando a los usuarios legítimos.

“La trayectoria de OpenSSH en el mantenimiento de la confidencialidad y la integridad de los datos lo ha convertido en un referente en software de seguridad”, asegura Sergio Pedroche, Country Manager de Qualys España y Portugal, “pero es cierto que estas vulnerabilidades pueden provocar daños a la reputación, infringir normas como GDPR, HIPAA, PCI-DSS, etc. e incluso provocar la interrupción de las operaciones más críticas”