Qualys, OpenSSH 9.1-də işlək istismar yaratmaq riskinin aşağı olduğu müəyyən edilən zəiflikdən istifadə edərək, nəzarətin koda ötürülməsinə başlamaq üçün malloc və ikiqat pulsuz qorunmanı keçməyin yolunu tapdı. Eyni zamanda, işləyən eksployt yaratmaq imkanı böyük sual olaraq qalır.
Zəifliyə ikiqat pulsuz əvvəlcədən autentifikasiya səbəb olur. Zəifliyin aşkarlanması üçün şərait yaratmaq üçün “SSH_BUG_CURVE2.0PAD” və “SSH_OLD_DHGEX” bayraqlarını təyin etmək üçün SSH müştəri bannerini “SSH-9.1-FuTTYSH_1p25519” (və ya başqa köhnə SSH müştərisi) ilə dəyişmək kifayətdir. Bu bayraqları təyin etdikdən sonra “options.kex_algorithms” buferi üçün yaddaş iki dəfə boşaldılır.
Qualys tədqiqatçıları zəifliyi manipulyasiya edərkən, yerinə yetiriləcək növbəti təlimatın göstəricisini ehtiva edən “%rip” prosessor registrinə nəzarət edə bildilər. Hazırlanmış istismar texnikası, standart olaraq OpenSSH 7.2 ilə təchiz edilmiş, yenilənməmiş OpenBSD 9.1 mühitində sshd prosesinin ünvan məkanının istənilən nöqtəsinə nəzarəti ötürməyə imkan verir.
Bildirilir ki, təklif olunan prototip hücumun yalnız birinci mərhələsinin həyata keçirilməsidir - işləyən eksploit yaratmaq üçün ASLR, NX və ROP mühafizə mexanizmlərindən yan keçmək və sandbox izolyasiyasından qaçmaq lazımdır ki, bu da mümkün deyil. ASLR, NX və ROP-dan yan keçmə problemini həll etmək üçün ünvanlar haqqında məlumat əldə etmək lazımdır ki, bu da informasiya sızmasına səbəb olan digər zəifliyi müəyyən etməklə əldə edilə bilər. İmtiyazlı valideyn prosesində və ya ləpəsindəki səhv qum qutusundan çıxmağa kömək edə bilər.
Mənbə: opennet.ru