В OpenSSH нашли брешь CVE-2026-35414
Уязвимость в OpenSSH оказалась опаснее обычной ошибки авторизации: проблема затрагивает версии, выпущенные за последние 15 лет, а успешная атака может дать злоумышленнику права root на сервере. Обнаружить эксплуатацию по одним только логам сложно, потому что OpenSSH воспринимает вход как легитимную аутентификацию и не фиксирует событие как отказ или подозрительную попытку.
Брешь получила идентификатор CVE-2026-35414 и оценку 8,1 балла по шкале CVSS. Ошибка связана с обработкой параметра principals в authorized_keys при проверке SSH-сертификатов, подписанных доверенным CA-ключом, сообщает компания Cyera.
В OpenSSH сертификат содержит список principals: имена пользователей или сервисных идентификаторов, от имени которых владелец сертификата может пройти аутентификацию. На стороне сервера параметр principals в authorized_keys ограничивает, какие значения из сертификата допустимы для доверенного CA. Из-за ошибки запятая внутри имени principal может превратиться в разделитель списка и сломать проверку доступа.
Проблема возникла из-за повторного использования функции, предназначенной для сопоставления списков алгоритмов шифрования и обмена ключами. В таких списках запятая служит обычным разделителем. При проверке principal подобная логика приводит к опасному результату: значение deploy,root разбивается на deploy и root, после чего фрагмент root может пройти как допустимый principal.
Cyera уточняет, что другая проверка обрабатывает deploy,root как одну строку и должна отклонять доступ. Однако при определённом совпадении дальнейшая обработка параметров приводит к обходу проверки principal, и сервер разрешает подключение.
Исследователи проверили уязвимость на тестовом сервере: специалисты выпустили сертификат с буквальной запятой в поле principal, подключили сертификат к уязвимой системе и получили root-доступ. По словам Cyera, путь от подозрения до рабочего эксплойта занял около 20 минут.
Для атаки требуется действительный сертификат от доверенного CA, поэтому CVE-2026-35414 не даёт произвольному внешнему пользователю мгновенный вход на любой сервер. Риск становится серьёзным в инфраструктурах, где один доверенный CA обслуживает много хостов, а низкопривилегированный сертификат может содержать principal с запятой. В такой конфигурации ошибка превращает ограниченную идентичность в доступ с правами root.
OpenSSH исправила CVE-2026-35414 в версии 10.3, выпущенной в начале апреля. Администраторам следует проверить версии OpenSSH, найти серверы с авторизацией через SSH-сертификаты и trusted CA, отдельно просмотреть использование параметра principals в authorized_keys и обновить уязвимые системы до исправленного релиза.