ช่องโหว่ OpenSSH ใหม่ เปิดทางให้ SSH Server อาจถูกโจมตี MiTM และ DoS 

OpenSSH ออก Security Update ออกมาล่าสุดเพื่อแก้ 2 ช่องโหว่ ได้แก่ Man-in-the-middle (MiTM) และ Denial-of-Service ซึ่งช่องโหว่ได้มีรายงานออกมาตั้งแต่ทศวรรษที่ผ่านมาแต่ก็ยังคงไม่ได้มีการตรวจพบจนถึงปีนี้ ซึ่งทาง OpenSSH แนะนำให้อัปเดตโดยด่วน

โดย OpenSSH (Open Secure Shell) นั้นเป็นการพัฒนาโปรโตคอล SSH ที่ใช้งานได้ฟรีและเป็น Open Source ที่จะช่วยทำให้การรับส่งข้อมูลมีการเข้ารหัส (Encrypt) ทำให้การเข้าถึงจากทางไกล โอนถ่ายข้อมูล มีความมั่นคงปลอดภัย ซึ่งเป็นอีกหนึ่งเครื่องมือที่การใช้งานในวงกว้างทั่วโลก ไม่ว่าจะเป็นบน Linux หรือ Unix-based หรือระบบในทรัพยากร Enterprise, DevOps, Cloud Computing หรือ Cybersecurity

และจากบล็อกโพสของ Qualys ทีมงาน Qualys Threat Research Unit (TRU) ได้ค้นพบ 2 ช่องโหว่บน OpenSSH พร้อมกับสาธิตให้ดูการ Exploit ไปยัง OpenSSH ได้แก่

  • Man-in-the-middle (CVE-2025-26465) ช่องโหว่ที่ส่งผลกระทบต่อ OpenSSH client เมื่อเปิดตัวเลือก VerifyHostKeyDNS ที่จะทำให้ Threat Actor ดำเนินการ MiTM ได้ ซึ่งได้มีรายงานออกมาตั้งแต่ธันวาคม 2014 แล้ว
  • Denial-of-Service (CVE-2025-26466) ช่องโหว่ Pre-authentication DoS ที่มีรายงานมาตั้งแต่ในเวอร์ชัน OpenSSH 9.5p1 ที่ปล่อยออกมาตั้งแต่สิงหาคม 2023 ซึ่งเกิดขึ้นจากการรับส่ง Key แล้วมีการจัดสรรหน่วยความจำแบบไม่จำกัด ซึ่งนำไปสู่การใช้ทรัพยากรที่ไม่สามารถควบคุมได้

ด้วยเหตุนี้ OpenSSH ทีมจึงได้เผยแพร่เวอร์ชัน 9.9p2 ออกมาล่าสุด ที่จัดการกับช่องโหว่ทั้ง 2 ส่วนเป็นที่เรียบร้อยแล้ว หากใครหรือองค์กรใดมีการใช้งาน OpenSSH อยู่แนะนำให้เร่งอัปเดตโดยด่วน รายละเอียดเพิ่มเติม สามารถอ่านได้ที่ Release Notes ของทาง OpenSSH 9.9p2

ที่มา: https://www.bleepingcomputer.com/news/security/sonicwall-firewall-bug-leveraged-in-attacks-after-poc-exploit-release/

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …