OpenSSH ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการ ได้แก่ ช่องโหว่แบบ Man-in-The-Middle (MitM) และช่องโหว่ Denial of Service(DoS) โดยหนึ่งในช่องโหว่นี้เพิ่งถูกค้นพบหลังจากมีการใช้งานมานาน โดย Qualys เป็นผู้ค้นพบช่องโหว่ทั้ง 2 รายการ และสาธิตวิธีการโจมตีให้แก่ผู้ดูแลระบบ OpenSSH รับทราบ

OpenSSH (Open Secure Shell) เป็นการนำ SSH (Secure Shell) protocol มาใช้งานแบบ open-source ซึ่งให้การเชื่อมต่อแบบเข้ารหัสสำหรับการเข้าถึงจากระยะไกลอย่างปลอดภัย, การถ่ายโอนไฟล์ และการสร้าง tunneling ผ่านเครือข่ายที่ไม่น่าเชื่อถือ โดยเป็นหนึ่งในเครื่องมือที่ใช้กันอย่างแพร่หลายมากที่สุดในโลก และมีการนำไปใช้อย่างแพร่หลายในระบบ Linux และ Unix (BSD, macOS) ในสภาพแวดล้อมระดับองค์กร, IT, DevOps, cloud computing และ cybersecurity applications

ช่องโหว่ทั้ง 2 รายการ

CVE-2025-26465 (คะแนน CVSS 6.8/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ Man-in-The-Middle (MitM) ที่พบใน OpenSSH 6.8p1 ซึ่งเปิดตัวในปี 2014 โดยช่องโหว่นี้ไม่เคยถูกค้นพบมาเป็นเวลากว่าหนึ่งทศวรรษ

โดยช่องโหว่ส่งผลกระทบต่อ OpenSSH clients เมื่อเปิดใช้งาน 'VerifyHostKeyDNS' option ซึ่งทำให้สามารถโจมตีแบบ MitM ได้ โดยไม่สนใจว่า VerifyHostKeyDNS option จะถูกตั้งค่าเป็น "yes" หรือ "ask" (ค่าเริ่มต้นคือ "no"), ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ และไม่ขึ้นอยู่กับการมี SSHFP resource record (an SSH fingerprint) ใน DNS

เมื่อมีการเปิดใช้งาน VerifyHostKeyDNS และเนื่องจากการจัดการ error ที่ไม่เหมาะสม Hacker สามารถหลอก clients ให้ยอมรับ server key ปลอม ด้วยการทำให้เกิด out-of-memory error ระหว่างการตรวจสอบได้

ด้วยการดักจับการเชื่อมต่อ SSH และการใช้ large SSH key ที่มี certificate extensions ที่มากเกินไป Hacker สามารถทำให้ memory ของฝั่งไคลเอนต์ถูกใช้งานจนหมด, สามารถ bypass การตรวจสอบโฮสต์, ยึดเซสชันเพื่อขโมยข้อมูล credentials, inject commands และขโมยข้อมูลออกไปได้

แม้ว่า 'VerifyHostKeyDNS' option จะถูกปิดใช้งานเป็นค่าเริ่มต้นใน OpenSSH แต่ option นี้ถูกเปิดใช้งานเป็นค่าเริ่มต้นบน FreeBSD มาตั้งแต่ปี 2013 ถึงปี 2023 ทำให้ระบบต่าง ๆ มากมายเสี่ยงต่อการโจมตีเหล่านี้

CVE-2025-26466 เป็นช่องโหว่ Denial of Service (DoS) ก่อนการยืนยันตัวตนใน OpenSSH 9.5p1 ซึ่งเปิดตัวในเดือนสิงหาคม 2023 เกิดจากการจัดสรรหน่วยความจำที่ไม่จำกัดในระหว่างการแลกเปลี่ยน key ส่งผลให้ไม่สามารถควบคุมการใช้งาน resource ได้

Hacker สามารถส่งข้อความ ping ขนาดเล็ก 16-byte ซ้ำ ๆ ได้ ซึ่งจะบังคับให้ OpenSSH บัฟเฟอร์ responses ขนาด 256-byte โดยไม่มีการจำกัด

ในระหว่างการแลกเปลี่ยน key ข้อมูลการ responses จะถูกเก็บไว้อย่างไม่มีกำหนดเวลา ส่งผลให้มีการใช้หน่วยความจำมากเกินไป และ CPU โอเวอร์โหลด ซึ่งอาจทำให้ระบบขัดข้องได้

ผลที่ตามมาจากการโจมตีช่องโหว่ CVE-2025-26466 อาจไม่รุนแรงเท่ากับช่องโหว่ CVE-2025-26465 แต่การโจมตีที่สามารถทำได้โดยไม่ต้องมีการยืนยันตัวตน และทำให้ระบบหยุดทำงาน ถือว่ามีความเสี่ยงที่สูงมาก

Security updates released

ทีมงาน OpenSSH ออกอัปเดตเวอร์ชัน 9.9p2 ซึ่งได้แก้ไขช่องโหว่ทั้ง 2 รายการ ดังนั้นจึงขอแนะนำให้ทำการอัปเดตเป็นเวอร์ชันดังกล่าวโดยเร็วที่สุด

นอกจากนี้ขอแนะนำให้ปิดใช้งาน VerifyHostKeyDNS เว้นแต่จำเป็นจริง ๆ และอาศัยการตรวจสอบ key fingerprint verification ด้วยตนเองเพื่อให้แน่ใจว่าการเชื่อมต่อ SSH นั้นมีความปลอดภัย

เกี่ยวกับปัญหา DoS ผู้ดูแลระบบควรบังคับใช้การจำกัดอัตราการเชื่อมต่ออย่างเข้มงวด และตรวจสอบการรับส่งข้อมูล SSH เพื่อดูรูปแบบที่ผิดปกติ เพื่อหยุดการโจมตีที่อาจเกิดขึ้นตั้งแต่เนิ่น ๆ

ที่มา : bleepingcomputer.

Akamai เปิดเผยการค้นพบแคมเปญการโจมตีของกลุ่ม Hacker ที่ได้มุ่งเป้าการโจมตีไปยัง SSH servers ที่มีช่องโหว่ ด้วยการโจมตีแบบ proxyjacking และนำแบนด์วิธอินเทอร์เน็ตที่ไม่ได้ใช้ของ SSH servers ที่ถูกโจมตีไปขายต่อเพื่อสร้างรายได้ ในลักษณะเดียวกันกับการโจมตีแบบ cryptojacking ที่กลุ่ม Hacker ได้ทำการใช้ประโยชน์จาก SSH servers ที่ถูกโจมตีเพื่อขุดเหรียญ cryptocurrency โดยกลยุทธ์ทั้งหมดนี้เป็นการใช้ประโยชน์จากเครื่อง SSH servers ที่ถูกโจมตี เพื่อสร้างรายได้ให้แก่กลุ่ม Hacker

ทั้งนี้ Akamai พบว่าการโจมตีแบบ proxyjacking ตรวจจับได้ค่อนข้างยาก เนื่องจาก Hacker จะใช้เฉพาะแบนด์วิธที่ไม่ได้ใช้งานของระบบที่ถูกโจมตี ซึ่งไม่ส่งผลกระทบต่อความเสถียร และประสิทธิภาพการใช้งาน เนื่องจาก Hacker ได้ทำการตั้งค่า proxy ที่สามารถช่วยปกปิดร่องรอยการโจมตี โดยมีเป้าหมายเพื่อขายแบนด์วิธอินเทอร์เน็ตเท่านั้น ทำให้เหยื่อสามารถตรวจจับได้ยาก

นักวิจัยพบว่า Hacker จะโจมตีไปยัง SSH servers ที่มีช่องโหว่ โดยใช้ SSH Protocol ในการการเข้าถึงเครื่องจากระยะไกล และเรียกใช้ scripts อันตรายที่แอบเชื่อมต่อเซิร์ฟเวอร์ของเหยื่อเข้าสู่เครือข่าย peer-to-peer (P2P) เช่น Peer2Proxy หรือ Honeygain

โดยทาง Akamai ได้พบรายการ IP ที่เกี่ยวข้องจากการตรวจสอบ และ proxy อื่น ๆ อีกอย่างน้อย 16,500 รายการ ที่ถูกแชร์ไว้บนฟอรัมออนไลน์

การบริการ Proxyware และ Docker containers

นักวิจัยของ Akamai พบการโจมตีครั้งแรกเมื่อวันที่ 8 มิถุนายน 2023 หลังพบการเชื่อมต่อ SSH หลายจุดใน honeypots ที่ถูกสร้างขึ้นโดยทีม Security Intelligence Response Team (SIRT)

ทีม SIRT พบว่า เมื่อ Hacker ทำการเชื่อมต่อกับหนึ่งใน SSH servers ที่มีช่องโหว่ Hacker จะใช้สคริปต์ Bash ที่เข้ารหัส Base64 เพื่อเพิ่ม SSH servers ที่ถูกโจมตีไปยังเครือข่าย proxy ของ Honeygain หรือ Peer2Profit

โดยสคริปต์ดังกล่าวจะทำการตั้งค่า container ด้วยการดาวน์โหลดอิมเมจ Peer2Profit หรือ Honeygain Docker และทำการกำจัด bandwidth-sharing container ที่มีอยู่เดิมอีกด้วย รวมไปถึงการติดตั้ง cryptominer เพื่อทำการโจมตี cryptojacking ในเครื่องดังกล่าว และติดตั้ง hacking tools อื่น ๆ เพิ่มเติม

ทั้งนี้แคมเปญที่พบดังกล่าวเป็นแค่เพียงส่วนหนึ่งของการโจมตีแบบ proxyjacking เท่านั้น เนื่องจากก่อนหน้านี้ก็พบการรายงานการโจมตีประเภทดังกล่าวจาก Cisco Talos และ Ahnlab เช่นเดียวกัน โดยได้เชื่อมต่อไปยังเครือข่าย proxy ของ Honeygain, Nanowire, Peer2Profit, IPRoyal และอื่น ๆ เช่นเดียวกันกับที่ทาง Sysdig ได้ค้นพบแคมเปญการโจมตี proxyjackers ในเดือนเมษายน 2023 ที่ Hacker ได้โจมตีผ่านช่องโหว่ Log4j เพื่อเข้าถึงระบบ ทำให้สามารถสร้างรายได้ได้สูงถึง $1,000 สำหรับอุปกรณ์ทุก ๆ 100 เครื่องที่ถูกเพิ่มลงในรายการ proxyware botnet

 

ที่มา : bleepingcomputer

พบการโจมตีใหม่ที่มุ่งเป้าหมายเป็น Linux SSH servers ที่มีการจัดการที่ไม่รัดกุม โดยการใช้ Malware ที่ชื่อว่า ShellBot

AhnLab (ASEC) ระบุในรายงานว่า "ShellBot หรือที่เรียกว่า PerlBot เป็นมัลแวร์รูปแบบ DDoS Bot ที่ถูกพัฒนาขึ้นด้วยภาษา Perl และใช้โปรโตคอล IRC เพื่อสื่อสารกับ C2 Server" (more…)