Lỗ hổng OpenSSH ẩn mình suốt 15 năm có thể cấp quyền truy cập Root toàn diện

Các phiên bản OpenSSH được phát hành trong suốt 15 năm qua đều bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể dẫn đến việc kẻ tấn công giành được quyền truy cập shell root hoàn toàn. Đáng lo ngại hơn, các cuộc tấn công khai thác lỗ hổng này không thể bị phát hiện thông qua việc kiểm tra nhật ký (log) hệ thống.

Theo công ty bảo mật dữ liệu Cyera, lỗ hổng này đang được theo dõi dưới mã định danh CVE-2026-35414 với điểm số CVSS là 8.1. Vấn đề được mô tả là sự xử lý sai tùy chọn authorized_keys principals trong một số tình huống cụ thể liên quan đến các cơ quan cấp chứng chỉ (Certificate Authority - CA) sử dụng ký tự dấu phẩy.

Lỗ hổng bảo mật

Cyera cho biết, do lỗi này, một dấu phẩy trong tên principal của chứng thực SSH có thể dẫn đến việc vượt qua kiểm soát truy cập của OpenSSH. Điều này cho phép người dùng xác thực với tư cách là root trên máy chủ dễ bị tổn thương, miễn là họ sở hữu một chứng thực hợp lệ từ một CA đáng tin cậy.

"Lỗi này nằm ở sai sót khi tái sử dụng mã, vô tình cho phép một dấu phẩy đơn giản trong principal của chứng thực được trình phân tích cú pháp (parser) hiểu là dấu phân tách danh sách, biến một định danh có quyền thấp thành thông tin xác thực root," Cyera chia sẻ với SecurityWeek.

Cơ chế hoạt động của lỗi này khá phức tạp nhưng nguy hiểm. Lỗi liên quan đến danh sách principals (bao gồm các tên người dùng mà người sở hữu chứng thực có thể xác thực) và các authorized_keys principals (chứa các khóa mà máy chủ sử dụng để tin tưởng chứng thực).

Vấn đề phát sinh từ một hàm xử lý đàm phán danh sách mã hóa và trao đổi khóa. Hàm này so sánh các danh sách được phân tách bằng dấu phẩy trong quá trình trao đổi khóa, tách chuỗi dựa trên dấu phẩy và cho phép xác thực nếu bất kỳ đoạn nào khớp với giá trị của principal.

Do lỗi này, nếu một chứng thực chứa principal là deploy,root, OpenSSH sẽ tách dấu phẩy và cấp quyền truy cập root đầy đủ. Một hàm khác kiểm tra quyền hạn lại coi principal đó là một chuỗi duy nhất và từ chối truy cập. Tuy nhiên, nếu chuỗi khớp, các tùy chọn chạy tiếp theo sẽ dẫn đến việc việc xác thực principal bị bỏ qua hoàn toàn.

Môi trường bảo mật

Cyera nhận định: "Chúng tôi đã viết một chứng thực kiểm tra với một dấu phẩy theo nghĩa đen trong trường principal, trỏ nó đến một máy chủ kiểm tra và đã có quyền root. Toàn bộ quá trình chỉ mất khoảng hai mươi phút từ lúc 'có vẻ gì đó sai sai' đến khi có một khai thác hoạt động được."

Điều đáng báo động là máy chủ coi xác thực này là hợp pháp, nghĩa là cuộc tấn công này không đăng ký một thất bại xác thực trong nhật ký. Điều này làm cho việc phát hiện dựa trên nhật ký trở nên vô cùng thiếu tin cậy.

Nếu khai thác thành công, lỗ hổng này có thể cung cấp cho kẻ tấn công quyền truy cập root vào tất cả các máy chủ của tổ chức nếu giao thức dễ bị tổn thương đang chạy trên chúng.

Lỗ hổng CVE-2026-35414 đã được khắc phục vào đầu tháng 4 trong phiên bản OpenSSH 10.3. Các tổ chức được khuyên cáo nên kiểm tra kỹ môi trường của mình và cập nhật lên phiên bản đã được vá càng sớm càng tốt để ngăn chặn rủi ro bị xâm nhập.