Qualys trovis manieron preteriri mallok kaj duoble-liberan protekton por iniciati translokigon de kontrolo al kodo uzante vundeblecon en OpenSSH 9.1 kiu estis celkonscia havi malaltan riskon de kreado de funkcia ekspluato. Samtempe, la ebleco krei funkciantan ekspluatadon restas granda demando.
La vundebleco estas kaŭzita de antaŭaŭtentigo duobla libera. Por krei kondiĉojn por ke la vundebleco manifestiĝu, sufiĉas ŝanĝi la standardon de SSH-kliento al "SSH-2.0-FuTTYSH_9.1p1" (aŭ alia malnova SSH-kliento) por agordi la flagojn "SSH_BUG_CURVE25519PAD" kaj "SSH_OLD_DHGEX". Post agordo de ĉi tiuj flagoj, la memoro por la bufro "options.kex_algorithms" liberiĝas dufoje.
Esploristoj de Qualys, manipulante la vundeblecon, povis akiri kontrolon de la "%rip" procesoro-registro, kiu enhavas montrilon al la sekva instrukcio por esti efektivigita. La evoluinta ekspluata tekniko permesas translokigi kontrolon al iu ajn punkto en la adrespaco de la sshd-procezo en neĝisdatigita OpenBSD 7.2 medio, provizita defaŭlte kun OpenSSH 9.1.
Oni rimarkas, ke la proponita prototipo estas efektivigo de nur la unua etapo de la atako - por krei funkcian ekspluatadon, necesas preterpasi la ASLR, NX kaj ROP-protektajn mekanismojn, kaj eskapi sablokestan izolitecon, kio estas neverŝajna. Por solvi la problemon preterpasi ASLR, NX kaj ROP, necesas akiri informojn pri adresoj, kiuj povas esti atingitaj per identigado de alia vundebleco, kiu kondukas al informo-fuĝo. Cimo en la privilegiita gepatra procezo aŭ kerno povas helpi eliri la sablokeston.
fonto: opennet.ru