Qualys најде начин да ја заобиколи malloc и двојната бесплатна заштита за да иницира пренос на контрола на код користејќи ранливост во OpenSSH 9.1 за која беше утврдено дека има низок ризик од создавање работен експлоат. Во исто време, можноста за создавање работен експлоат останува големо прашање.
Ранливоста е предизвикана од двојна бесплатна пред-автентикација. За да се создадат услови за да се манифестира ранливоста, доволно е да го смените банерот на клиентот SSH во „SSH-2.0-FuTTYSH_9.1p1“ (или друг стар клиент на SSH) за да ги поставите знаменцата „SSH_BUG_CURVE25519PAD“ и „SSH_OLD_DHGEX“. По поставувањето на овие знаменца, меморијата за баферот „options.kex_algorithms“ се ослободува двапати.
Истражувачите од Qualys, додека манипулираа со ранливоста, успеаја да добијат контрола над процесорскиот регистар „%rip“, кој содржи покажувач кон следната инструкција што треба да се изврши. Развиената техника на експлоатација ви овозможува да ја пренесете контролата на која било точка во адресниот простор на процесот sshd во неапдејтирана OpenBSD 7.2 околина, стандардно обезбедена со OpenSSH 9.1.
Забележано е дека предложениот прототип е имплементација само на првата фаза од нападот - за да се создаде работен експлоат, неопходно е да се заобиколат механизмите за заштита ASLR, NX и ROP и да се избегне изолацијата на песокот, што е малку веројатно. За да се реши проблемот со заобиколување на ASLR, NX и ROP, неопходно е да се добијат информации за адресите, што може да се постигне со идентификување на друга ранливост што доведува до истекување на информации. Грешка во привилегираниот родителски процес или јадро може да помогне да излезете од песокот.
Извор: opennet.ru