Qualys atrada veidu, kā apiet malloc un dubulto aizsardzību, lai sāktu kontroles nodošanu kodam, izmantojot OpenSSH 9.1 ievainojamību, kurai ir zems risks izveidot darbīgu izmantošanu. Tajā pašā laikā liela problēma joprojām ir iespēja izveidot funkcionālu izmantošanu.
Ievainojamību izraisa dubultā bezmaksas iepriekšēja autentifikācija. Lai radītu apstākļus ievainojamības izpausmei, pietiek nomainīt SSH klienta reklāmkarogu uz “SSH-2.0-FuTTYSH_9.1p1” (vai citu vecu SSH klientu), lai iestatītu karogus “SSH_BUG_CURVE25519PAD” un “SSH_OLD_DHGEX”. Pēc šo karogu iestatīšanas atmiņa “options.kex_algorithms” buferim tiek atbrīvota divas reizes.
Pētnieki no Qualys, manipulējot ar ievainojamību, varēja iegūt kontroli pār “%rip” procesora reģistru, kurā ir norāde uz nākamo izpildāmo instrukciju. Izstrādātā ekspluatācijas tehnika ļauj pārsūtīt vadību uz jebkuru punktu sshd procesa adrešu telpā neatjauninātā OpenBSD 7.2 vidē, kas pēc noklusējuma tiek nodrošināta kopā ar OpenSSH 9.1.
Tiek atzīmēts, ka piedāvātais prototips ir tikai uzbrukuma pirmā posma realizācija - lai izveidotu darbojošos eksploitu, nepieciešams apiet ASLR, NX un ROP aizsardzības mehānismus un izvairīties no smilškastes izolācijas, kas ir maz ticams. Lai atrisinātu ASLR, NX un ROP apiešanas problēmu, ir jāiegūst informācija par adresēm, ko var panākt, identificējot citu ievainojamību, kas noved pie informācijas noplūdes. Priviliģētā vecākprocesa vai kodola kļūda var palīdzēt iziet no smilškastes.
Avots: opennet.ru