Qualys fûn in manier om malloc en dûbelfrije beskerming te omgean om in oerdracht fan kontrôle nei koade te begjinnen mei in kwetsberens yn OpenSSH 9.1 dy't bepaald waard om in leech risiko te hawwen foar it meitsjen fan in wurkjende eksploitaasje. Tagelyk bliuwt de mooglikheid om in wurkjende eksploit te meitsjen in grutte fraach.
De kwetsberens wurdt feroarsake troch in pre-autentikaasje dûbele frije. Om betingsten te meitsjen foar it manifestearjen fan kwetsberens, is it genôch om de SSH-kliïntbanner te feroarjen nei "SSH-2.0-FuTTYSH_9.1p1" (of in oare âlde SSH-kliïnt) om de flaggen "SSH_BUG_CURVE25519PAD" en "SSH_OLD_DHGEX" yn te stellen. Nei it ynstellen fan dizze flaggen wurdt it ûnthâld foar de buffer "options.kex_algorithms" twa kear befrijd.
Undersikers fan Qualys koene, wylst se de kwetsberens manipulearren, kontrôle krije oer it "%rip" prosessorregister, dat in oanwizer befettet nei de folgjende ynstruksje dy't moat wurde útfierd. De ûntwikkele eksploitaasjetechnyk lit jo kontrôle oerdrage nei elk punt yn 'e adresromte fan it sshd-proses yn in net bywurke OpenBSD 7.2-omjouwing, standert levere mei OpenSSH 9.1.
It wurdt opmurken dat it foarstelde prototype in ymplemintaasje is fan allinich de earste etappe fan 'e oanfal - om in wurkjende eksploitaasje te meitsjen, is it nedich om de ASLR-, NX- en ROP-beskermingsmeganismen te omgean, en te ûntkommen oan sandbox-isolaasje, wat net wierskynlik is. Om it probleem fan it omgean fan ASLR, NX en ROP op te lossen, is it nedich om ynformaasje te krijen oer adressen, dy't kinne wurde berikt troch in oare kwetsberens te identifisearjen dy't liedt ta ynformaasjelekkage. In brek yn it befoarrjochte âlderproses as kernel kin helpe om de sânbak te ferlitten.
Boarne: opennet.ru