Qualys on löytänyt keinon ohittaa malloc- ja double-free-suojaukset ja aloittaa ohjauksensiirron käyttämällä OpenSSH 9.1:n haavoittuvuutta, jonka toimivan hyökkäysohjelman luomisen riskiä pidettiin alhaisena. Toimivan hyökkäysohjelman luomisen mahdollisuus on kuitenkin edelleen erittäin kyseenalainen.
Haavoittuvuuden aiheuttaa muistin kaksinkertainen vapautus esitunnistusta edeltävässä vaiheessa. Haavoittuvuuden luomiseksi vaihda SSH-asiakasohjelman bannerimuotoon "SSH-2.0-FuTTYSH_9.1p1" (tai jokin muu vanhempi SSH-asiakasohjelma) ja aseta "SSH_BUG_CURVE25519PAD"- ja "SSH_OLD_DHGEX"-liput. Näiden lippujen asettamisen jälkeen "options.kex_algorithms"-puskuri vapautetaan kahdesti.
Qualysin tutkijat onnistuivat manipuloimaan haavoittuvuutta ja saamaan hallintaansa prosessorin "%rip"-rekisterin, joka sisältää osoittimen seuraavaan suoritettavaan käskyyn. Heidän kehittämänsä hyväksikäyttötekniikka mahdollistaa ohjauksen siirtämisen mihin tahansa sshd-prosessin osoiteavaruuden pisteeseen päivittämättömässä OpenBSD 7.2 -ympäristössä, joka on OpenSSH 9.1:n oletusversio.
On huomattava, että ehdotettu prototyyppi on vasta ensimmäisen vaiheen hyökkäys – toimivan hyökkäyshaavoittuvuuden luominen edellyttää ASLR-, NX- ja ROP-suojausmekanismien ohittamista ja hiekkalaatikon eristämisestä murtautumista, mikä on epätodennäköistä. ASLR:n, NX:n ja ROP:n ohittaminen edellyttää osoitetietojen hankkimista, mikä voidaan saavuttaa tunnistamalla toinen haavoittuvuus, joka johtaa tietovuotoon. Virhe etuoikeutetussa pääprosessissa tai ytimessä voi olla hyödyllinen hiekkalaatikosta murtautumisessa.
Lähde: opennet.ru
