وجدت Qualys طريقة لتجاوز malloc والحماية الحرة المزدوجة لبدء نقل التحكم إلى التعليمات البرمجية باستخدام ثغرة أمنية في OpenSSH 9.1 والتي تم تحديد أنها تنطوي على مخاطر منخفضة لإنشاء استغلال فعال. وفي الوقت نفسه، تظل إمكانية إنشاء برمجيات إكسبلويت فعالة سؤالًا كبيرًا.
سبب الثغرة الأمنية هو المصادقة المزدوجة المجانية. لتهيئة الظروف لظهور الثغرة الأمنية، يكفي تغيير شعار عميل SSH إلى "SSH-2.0-FuTTYSH_9.1p1" (أو عميل SSH قديم آخر) لتعيين علامتي "SSH_BUG_CURVE25519PAD" و"SSH_OLD_DHGEX". بعد تعيين هذه العلامات، يتم تحرير ذاكرة المخزن المؤقت "options.kex_algorithms" مرتين.
وتمكن باحثون من Qualys، أثناء معالجة الثغرة الأمنية، من التحكم في سجل المعالج “%rip”، الذي يحتوي على مؤشر للتعليمة التالية التي سيتم تنفيذها. تسمح لك تقنية الاستغلال المطورة بنقل التحكم إلى أي نقطة في مساحة عنوان عملية sshd في بيئة OpenBSD 7.2 غير المحدثة، والتي يتم توفيرها افتراضيًا مع OpenSSH 9.1.
تجدر الإشارة إلى أن النموذج الأولي المقترح هو تنفيذ للمرحلة الأولى فقط من الهجوم - لإنشاء استغلال فعال، من الضروري تجاوز آليات حماية ASLR وNX وROP، والهروب من عزلة وضع الحماية، وهو أمر غير مرجح. لحل مشكلة تجاوز ASLR وNX وROP، من الضروري الحصول على معلومات حول العناوين، وهو ما يمكن تحقيقه من خلال تحديد ثغرة أمنية أخرى تؤدي إلى تسرب المعلومات. يمكن أن يساعد وجود خطأ في العملية الأصلية أو النواة المميزة في الخروج من وضع الحماية.
المصدر: opennet.ru