Pre-auth kwetsbaarheden in infra: libssh2 en NATS (CVE-2026-55199, -58250, -58253)
Een terugkerend en gevaarlijk kenmerk: pre-authentication — de aanvaller heeft géén geldige inloggegevens nodig. Drie recente voorbeelden in veelgebruikte infra-componenten.
De kwetsbaarheden
- CVE-2026-55199 — libssh2: pre-auth DoS via de
SSH_MSG_EXT_INFO-handler. Een aanvaller die een SSH-handshake initieert kan een client/tool die libssh2 gebruikt laten crashen, vóór authenticatie. (libssh2 kwam eerder al voorbij in USN-8532-1.) - CVE-2026-58250 — NATS Server: pre-auth crash via een dubbele
INFOin de leafnode-handler. Een ongeauthenticeerde peer kan de messaging-server laten omvallen. - CVE-2026-58253 — NATS Server: Route API authentication bypass. Omzeiling van de authenticatie op de route-API.
Waarom dit relevant is
libssh2 is de SSH-clientbibliotheek die veel tooling gebruikt (los van OpenSSH); een pre-auth
DoS raakt alles wat er uitgaande SSH-verbindingen mee maakt. NATS is een populaire
messaging-/event-backbone in microservice-architecturen — een pre-auth crash of auth-bypass
daar is een directe beschikbaarheids- en integriteitsbedreiging.
Op deze server draait geen NATS, en libssh2 alleen zijdelings; toch horen pre-auth-bugs
bovenaan de prioriteit omdat de drempel voor misbruik nul is.
Advies
- Werk libssh2 bij (
apt upgrade; herstart processen die het langdurig laden). - Draai je NATS: patch naar de gefixte server-release en beperk de route-/leafnode-poorten tot vertrouwde netwerken.
- Algemeen: zet infra-componenten die pre-auth-oppervlak hebben nooit onnodig open naar het internet — netwerksegmentatie dempt de hele klasse.