Qualys fann leið til að komast framhjá malloc og tvöfaldri vernd til að hefja yfirfærslu á stjórn yfir í kóða, með því að nota varnarleysi í OpenSSH 9.1 sem var staðráðið í að hafa litla hættu á að búa til virka misnotkun. Á sama tíma er möguleikinn á að búa til vinnandi hetjudáð enn stór spurning.
Varnarleysið stafar af tvöföldu forstaðfestingu. Til að skapa skilyrði fyrir því að varnarleysið komi fram er nóg að breyta SSH biðlaraborðanum í „SSH-2.0-FuTTYSH_9.1p1“ (eða annan gamlan SSH viðskiptavin) til að stilla „SSH_BUG_CURVE25519PAD“ og „SSH_OLD_DHGEX“ fánana. Eftir að þessi fána hefur verið stillt losnar minnið fyrir „options.kex_algorithms“ biðminni tvisvar.
Vísindamenn frá Qualys gátu náð stjórn á „%rip“ örgjörvaskránni, sem hefur að geyma vísbendingu um næstu leiðbeiningar sem á að framkvæma. Þróuð hagnýtingartækni gerir þér kleift að flytja stjórn á hvaða stað sem er í vistfangarými sshd ferlisins í óuppfærðu OpenBSD 7.2 umhverfi, sem sjálfgefið er með OpenSSH 9.1.
Það er tekið fram að fyrirhuguð frumgerð er aðeins útfærsla á fyrsta stigi árásarinnar - til að búa til vinnandi hetjudáð er nauðsynlegt að komast framhjá ASLR, NX og ROP verndaraðferðum og komast undan einangrun sandkassa, sem er ólíklegt. Til að leysa vandamálið við að komast framhjá ASLR, NX og ROP er nauðsynlegt að afla upplýsinga um heimilisföng, sem hægt er að ná með því að bera kennsl á annan varnarleysi sem leiðir til upplýsingaleka. Villa í forréttindaferlinu eða kjarnanum getur hjálpað til við að loka sandkassanum.
Heimild: opennet.ru