過去15年間にリリースされたOpenSSHバージョンは、完全なrootシェルアクセスにつながる脆弱性の影響を受けており、データセキュリティ企業Cyeraによると、ログベースの検出では攻撃を検出できません。
CVE-2026-35414として追跡されている(CSSスコア 8.1)、この脆弱性はカンマ文字を使用する認証局(CA)を含む特定のシナリオでauthorized_keysプリンシパルオプションの不適切な処理として説明されています。
Cyeraによると、バグのため、SSH証明書プリンシパル名のカンマは、OpenSSHアクセス制御のバイパスにつながり、信頼されたCAから有効な証明書を持っている限り、ユーザーが脆弱なサーバーでrootとして認証できます。
「この脆弱性は、パーサーによって証明書プリンシパル内のシンプルなカンマがリスト区切り文字として解釈されることを偶然に許可したコード再利用エラーに存在し、低権限アイデンティティをルート認証情報に変えます」と、CyeraはSecurityWeekに述べています。
「サーバーは認証を正当と見なすため、この攻撃はログに認証失敗として登録されず、ログベースの検出を非常に信頼できなくします」と付け加えられました。
CVE-2026-35414は、サイバーセキュリティ企業が説明するように、証明書保持者が認証できるユーザー名を含むプリンシパルリストと、サーバーが証明書を信頼するために使用するキーを含むauthorized_keysプリンシパルを含みます。
問題は、暗号化とキー交換リスト交渉を処理する関数がキー交換時にカンマで区切られた暗号リストを比較し、カンマで分割し、フラグメントのいずれかがプリンシパルの値と一致する場合、認証を有効にすることです。
バグのため、証明書がプリンシパルdeploy,rootを含む場合、OpenSSHはカンマで分割し、完全なrootアクセスを有効にします。
認可もチェックする2番目の関数は、同じプリンシパルを単一の文字列として扱い、アクセスを拒否します。ただし、文字列が一致する場合、次に実行されるオプションは、プリンシパル検証が完全にスキップされる結果になります。
「プリンシパルフィールドにリテラルカンマを含むテスト証明書を作成し、テストサーバーを指し、rootを取得しました。全体で『それは間違っているように見える』から実際に機能するエクスプロイトまで約20分かかりました」と、Cyeraは述べています。
脆弱性の成功した悪用は、脆弱なプロトコルが組織が持つすべてのサーバーで実行されている場合、攻撃者に組織が持つすべてのサーバーへのrootアクセスを提供できます、と同社は述べています。
CVE-2026-35414は4月初旬のOpenSSHバージョン10.3で解決されました。組織は環境を監査し、できるだけ早くパッチ版に更新することをお勧めします。
翻訳元: https://www.securityweek.com/openssh-flaw-allowing-full-root-shell-access-lurked-for-15-years/
