Le Vulnerabilità CVE-2025-26465 e CVE-2025-26466 Espongono i Sistemi ad Attacchi Man-in-the-Middle e DoS
Due nuove falle di sicurezza recentemente scoperte nella suite open-source OpenSSH, tracciate come CVE-2025-26465 e CVE-2025-26466, potrebbero consentire agli avversari di avviare attacchi machine-in-the-middle/man-in-the-middle (MitM) o denial-of-service (DoS) attacks.
Con il crescente numero di CVE armate, la rilevazione proattiva dello sfruttamento delle vulnerabilità è più critica che mai. Solo nei primi due mesi del 2025, 6.127 nuove vulnerabilità sono state elencate dal NIST NVD, rendendo questo un periodo ad alto rischio per i difensori informatici.
Per individuare in tempo potenziali attacchi contro la vostra organizzazione, SOC Prime Platform per la difesa informatica collettiva cura un ampio set di regole Sigma mirate alla rilevazione dello sfruttamento delle vulnerabilità. Premi il pulsante Esplora Rilevazioni qui sotto e approfondisci immediatamente un contesto rilevante di rilevazioni arricchite dal punto di vista del contesto, supportato da una suite completa di prodotti per la caccia alle minacce automatizzata, l’ingegneria della rilevazione potenziata dall’intelligenza artificiale e la rilevazione delle minacce guidata dall’intelligenza. Controllando la nostra libreria di regole Sigma tramite il tag CVE, non perderete le minacce emergenti che potrebbero sfidare la vostra azienda poiché le rilevazioni vengono aggiunte quotidianamente.
Tutte le regole sono compatibili con soluzioni SIEM, EDR e Data Lake multiple e sono mappate all’ MITRE ATT&CK framework per semplificare l’indagine sulle minacce. Inoltre, le rilevazioni sono arricchite con dettagliati metadati, inclusi CTI riferimenti, linee temporali degli attacchi, raccomandazioni di triage e altro ancora.
Analisi di CVE-2025-26465 e CVE-2025-26466
Il team Qualys TRU ha evidenziato due vulnerabilità di OpenSSH tracciate come CVE-2025-26465 e CVE-2025-26466. La prima, con un punteggio CVSS che raggiunge 6.8, consente un attacco MitM sul client quando VerifyHostKeyDNS è attivo, mentre la seconda impatta sia client che server, permettendo un attacco DoS pre-autenticazione.
Notoriamente, se sfruttata, CVE-2025-26465 potrebbe permettere un attacco MitM in cui il client accetta erroneamente la chiave dell’attaccante come legittima, compromettendo l’integrità della connessione SSH e consentendo intercettazioni o manomissioni senza che l’utente ne sia a conoscenza. L’opzione VerifyHostKeyDNS è disattivata di default ma è stata attiva su FreeBSD da settembre 2013 a marzo 2023, ponendo potenziali rischi. Nel frattempo, lo sfruttamento ripetuto di CVE-2025-26466 potrebbe interrompere la disponibilità del server, bloccando amministratori e utenti.
Le versioni di OpenSSH dalla 6.8p1 alla 9.9p1 sono vulnerabili a CVE-2025-26465, mentre le versioni del prodotto dalla 9.5p1 alla 9.9p1 possono essere esposte a CVE-2025-26466. Per rimediare tempestivamente a CVE-2025-26466 e CVE-2025-26465, i difensori raccomandano di aggiornare alla versione OpenSSH 9.9p2, che corregge entrambe le falle. Affidatevi a SOC Prime Platform per migliorare la postura di cybersecurity della vostra organizzazione contro una superficie di attacco in continua espansione ottimizzando al contempo l’efficacia delle risorse.
