Qualys löysi tavan ohittaa malloc ja kaksinkertainen suojaus käynnistääkseen hallinnan siirron koodiin käyttämällä OpenSSH 9.1:n haavoittuvuutta, jonka todettiin olevan alhainen toimivan hyväksikäytön riski. Samaan aikaan toimivan hyväksikäytön luomisen mahdollisuus on edelleen suuri kysymys.
Haavoittuvuuden aiheuttaa kaksinkertainen esitodennus. Edellytysten luomiseksi haavoittuvuuden ilmenemiselle riittää, että SSH-asiakasbanneri vaihdetaan muotoon "SSH-2.0-FuTTYSH_9.1p1" (tai muu vanha SSH-asiakas), jotta "SSH_BUG_CURVE25519PAD"- ja "SSH_OLD_DHGEX"-liput asetetaan. Kun nämä liput on asetettu, "options.kex_algorithms" -puskurin muisti vapautetaan kahdesti.
Qualysin tutkijat onnistuivat haavoittuvuutta manipuloidessaan saamaan hallintaansa "%rip" -prosessorirekisterin, joka sisältää osoittimen seuraavaan suoritettavaan ohjeeseen. Kehitetty hyväksikäyttötekniikka mahdollistaa ohjauksen siirtämisen mihin tahansa kohtaan sshd-prosessin osoiteavaruudessa päivittämättömässä OpenBSD 7.2 -ympäristössä, joka toimitetaan oletuksena OpenSSH 9.1:n mukana.
On huomattava, että ehdotettu prototyyppi on vain hyökkäyksen ensimmäisen vaiheen toteutus - toimivan hyväksikäytön luomiseksi on välttämätöntä ohittaa ASLR-, NX- ja ROP-suojamekanismit ja paeta hiekkalaatikon eristämisestä, mikä on epätodennäköistä. ASLR:n, NX:n ja ROP:n ohitusongelman ratkaisemiseksi on tarpeen hankkia tietoja osoitteista, mikä voidaan saavuttaa tunnistamalla toinen tietovuotoon johtava haavoittuvuus. Virhe etuoikeutetussa emoprosessissa tai ytimessä voi auttaa poistumaan hiekkalaatikosta.
Lähde: opennet.ru