Уязвимость, затрагивающая все версии OpenSSH, выпущенные за последние 15 лет, позволяет злоумышленнику получить полный доступ к серверу с правами root (учетной записи суперпользователя). Более того, обнаружить атаку стандартными методами мониторинга логов практически невозможно. Такие выводы представила компания Cyera, специализирующаяся на безопасности данных.
Уязвимость CVE-2026-35414
Проблема получила идентификатор CVE-2026-35414 и оценку в 8,1 балла по шкале CVSS (единой системе оценки критичности уязвимостей). Она связана с некорректной обработкой опции authorized_keys principals в определенных сценариях работы с центрами сертификации (CA - удостоверяющие центры, выпускающие цифровые сертификаты).
Корень уязвимости кроется в том, как OpenSSH интерпретирует запятые внутри имени principal (основного имени субъекта в сертификате). В нормальной ситуации сертификат содержит список имен пользователей, от имени которых владелец сертификата может авторизоваться. Если злоумышленник располагает валидным сертификатом от доверенного центра сертификации, то простая запятая в поле principal превращает низкопривилегированную учетную запись в учетную запись root.
Как пояснили в Cyera, ошибка возникла из-за повторного использования кода. Парсер OpenSSH случайно начал интерпретировать запятую в поле principal как разделитель элементов списка. В результате, если в сертификате указано значение deploy,root, система разделяет эту строку на две части: deploy и root. После этого сервер позволяет авторизоваться под root, хотя изначально владелец сертификата имел право только на вход под учетной записью deploy.
В Cyera поделились любопытной деталью: "мы создали тестовый сертификат с буквальной запятой в поле principal, направили его на тестовый сервер и получили root. Весь процесс занял около двадцати минут - от мысли "это выглядит неправильно" до работающего эксплойта".
Особую опасность представляет то, что атака не оставляет следов в системных логах. Сервер считает аутентификацию легитимной, а значит, не фиксирует событие неудачного входа. Это делает лог-ориентированное обнаружение крайне ненадежным. Злоумышленник может получить root-доступ ко всем серверам организации, где установлена уязвимая версия OpenSSH.
Уязвимость затрагивает процесс обработки двух ключевых структур: списка principals (допустимых имен пользователей для владельца сертификата) и списка authorized_keys principals (ключей, которым сервер доверяет при проверке сертификатов). Проблемная функция, отвечающая за согласование списков шифров и ключей во время установки соединения, разбивает строку с principal по запятым. Если хотя бы один фрагмент совпадает со значением principal в сертификате, аутентификация считается успешной.
Вторая проверочная функция, которая также анализирует авторизацию, обрабатывает тот же principal как единую строку и отклоняет доступ. Однако, если строка все же совпадает, дальнейшие опции пропускают проверку principal целиком. Таким образом, злоумышленник обходит второй уровень защиты.
Разработчики OpenSSH устранили уязвимость в начале апреля в версии 10.3. Компаниям настоятельно рекомендуют провести аудит своих сред и как можно скорее обновиться до исправленной версии. Учитывая, что проблема затрагивает софт, выпущенный за 15 лет, потенциальное число уязвимых серверов огромно.
В заключение стоит отметить, что уязвимость CVE-2026-35414 демонстрирует, насколько опасными могут быть даже незначительные ошибки в парсинге данных. Простая запятая в сертификате способна полностью скомпрометировать инфраструктуру организации. Стандартные методы мониторинга в данном случае бесполезны, поэтому единственный надежный способ защиты - своевременное обновление программного обеспечения.
