Qualys, OpenSSH 9.1'de çalışan bir istismar oluşturma riskinin düşük olduğu belirlenen bir güvenlik açığını kullanarak kontrolün koda aktarımını başlatmak için malloc ve double-free korumasını atlamanın bir yolunu buldu. Aynı zamanda, çalışan bir istismar yaratma olasılığı da büyük bir soru olmaya devam ediyor.
Güvenlik açığı, ön kimlik doğrulamanın çift serbest olmasından kaynaklanmaktadır. Güvenlik açığının ortaya çıkması için koşullar oluşturmak amacıyla, "SSH_BUG_CURVE2.0PAD" ve "SSH_OLD_DHGEX" bayraklarını ayarlamak için SSH istemci banner'ını "SSH-9.1-FuTTYSH_1p25519" (veya başka bir eski SSH istemcisi) olarak değiştirmek yeterlidir. Bu bayrakları ayarladıktan sonra “options.kex_algorithms” arabelleğinin belleği iki kez serbest bırakılır.
Qualys araştırmacıları, güvenlik açığını manipüle ederken, yürütülecek bir sonraki talimatın işaretçisini içeren "%rip" işlemci kaydının kontrolünü ele geçirmeyi başardılar. Geliştirilen yararlanma tekniği, kontrolü, varsayılan olarak OpenSSH 7.2 ile sağlanan, güncellenmemiş bir OpenBSD 9.1 ortamında sshd işleminin adres alanındaki herhangi bir noktaya aktarmanıza olanak tanır.
Önerilen prototipin, saldırının yalnızca ilk aşamasının bir uygulaması olduğu belirtiliyor; çalışan bir istismar oluşturmak için ASLR, NX ve ROP koruma mekanizmalarını atlamak ve sanal alan izolasyonundan kaçmak gerekir ki bu pek olası değildir. ASLR, NX ve ROP'u atlama sorununu çözmek için, bilgi sızıntısına yol açan başka bir güvenlik açığının tespit edilmesiyle elde edilebilecek adresler hakkında bilgi edinmek gerekir. Ayrıcalıklı ana işlemdeki veya çekirdekteki bir hata, korumalı alandan çıkmaya yardımcı olabilir.
Kaynak: opennet.ru