【安全圈】OpenSSH 漏洞暗藏 15 年，可致完全 root 權限訪問

關鍵詞

漏洞

數據安全公司 Cyera 表示，過去 15 年發布的 OpenSSH 版本存在一個漏洞，該漏洞可導致攻擊者獲取完全的 root shell 訪問權限，且基于日志的檢測方式無法發現此類攻擊。

該漏洞編號為 CVE - 2026 - 35414，嚴重程度評分（CVSS）為 8.1。在某些涉及使用逗號字符的證書頒發機構（CA）的場景中，此漏洞表現為對 authorized_keys principals 選項的處理不當。

據 Cyera 稱，由于這個漏洞，SSH 證書主體名稱中的逗號會導致 OpenSSH 訪問控制被繞過。只要用戶擁有受信任 CA 頒發的有效證書，就可以在存在漏洞的服務器上以 root 身份進行身份驗證。

Cyera 向 SecurityWeek 表示：“該漏洞源于代碼復用錯誤，意外地使解析器將證書主體中的一個普通逗號解釋為列表分隔符，從而將低權限身份轉變為 root 憑證?！?/p>

它還補充道：“服務器會認為這種身份驗證是合法的，這意味著此類攻擊不會在日志中記錄身份驗證失敗，使得基于日志的檢測極不可靠?！?/p>

這家網絡安全公司解釋稱，CVE - 2026 - 35414 涉及 principals 列表（包含證書持有者可用于身份驗證的用戶名）以及 authorized_keys principals（包含服務器用于信任證書的密鑰）。

問題在于，一個處理密碼和密鑰交換列表協商的函數，在密鑰交換期間會比較以逗號分隔的密碼列表，并按逗號進行拆分。如果其中任何一個片段與主體的值匹配，就會允許身份驗證。

由于該漏洞，如果一個證書包含主體 “deploy,root”，OpenSSH 會拆分逗號并授予完全的 root 訪問權限。

另一個同樣用于檢查授權的函數會將相同的主體視為單個字符串并拒絕訪問。然而，如果字符串匹配，接下來運行的選項會導致完全跳過主體驗證。

Cyera 稱：“我們編寫了一個在主體字段中帶有普通逗號的測試證書，并將其指向測試服務器，然后就獲取了 root 權限。從發現‘看起來不對勁’到成功利用該漏洞，整個過程大約花了 20 分鐘?！?/p>

該公司表示，如果組織內的服務器運行了存在漏洞的協議，成功利用此漏洞可能使攻擊者獲得對所有這些服務器的 root 訪問權限。

CVE - 2026 - 35414 已于 4 月初在 OpenSSH 10.3 版本中得到修復。建議各組織對自身環境進行審計，并盡快更新到已修復版本。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！