Qualys-ը գտել է malloc-ի և կրկնակի անվճար պաշտպանությունը շրջանցելու միջոց՝ սկսելու հսկողության փոխանցումը կոդի վրա՝ օգտագործելով OpenSSH 9.1-ի խոցելիությունը, որը որոշվել է աշխատանքային շահագործման ստեղծման ցածր ռիսկով: Միևնույն ժամանակ մեծ հարց է մնում աշխատանքային շահագործում ստեղծելու հնարավորությունը։
Խոցելիությունը պայմանավորված է նախնական նույնականացման կրկնակի անվճար տարբերակով: Խոցելիության դրսևորման համար պայմաններ ստեղծելու համար բավական է փոխել SSH հաճախորդի դրոշակը «SSH-2.0-FuTTYSH_9.1p1» (կամ մեկ այլ հին SSH հաճախորդ)՝ «SSH_BUG_CURVE25519PAD» և «SSH_OLD_DHGEX» դրոշակները սահմանելու համար: Այս դրոշները դնելուց հետո «options.kex_algorithms» բուֆերի հիշողությունը երկու անգամ ազատվում է:
Qualys-ի հետազոտողները, մանիպուլյացիայի ենթարկելով խոցելիությունը, կարողացան վերահսկողություն ձեռք բերել «%rip» պրոցեսորային ռեգիստրի վրա, որը պարունակում է ցուցիչ դեպի հաջորդ կատարվող հրահանգը: Մշակված շահագործման տեխնիկան թույլ է տալիս փոխանցել հսկողությունը sshd գործընթացի հասցեային տարածքի ցանկացած կետ՝ չթարմացված OpenBSD 7.2 միջավայրում, որը լռելյայն մատակարարվում է OpenSSH 9.1-ով:
Նշվում է, որ առաջարկվող նախատիպը հարձակման միայն առաջին փուլի իրականացումն է՝ աշխատանքային շահագործման ստեղծման համար անհրաժեշտ է շրջանցել ASLR, NX և ROP պաշտպանության մեխանիզմները և փախչել sandbox մեկուսացումից, ինչը քիչ հավանական է։ ASLR-ի, NX-ի և ROP-ի շրջանցման խնդիրը լուծելու համար անհրաժեշտ է տեղեկատվություն ստանալ հասցեների մասին, ինչին կարելի է հասնել՝ բացահայտելով մեկ այլ խոցելիություն, որը հանգեցնում է տեղեկատվության արտահոսքի։ Արտոնյալ ծնող գործընթացի կամ միջուկի սխալը կարող է օգնել դուրս գալ Sandbox-ից:
Source: opennet.ru