文章总结： Argus公司披露OpenBSD中存在27年的身份验证绕过漏洞CVE-2026-55706，攻击者可通过PPPoE发送空用户名密码绕过PAP认证。漏洞位于sppppapinput()函数的bcmp长度检查缺陷，同时存在堆越界读取风险。OpenBSD已发布补丁修复，建议管理员及时更新系统并将二层网络视为不可信环境。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,网络安全,应急响应

潜伏27年的OpenBSD身份验证绕过漏洞：技术细节与概念验证利用代码已公开披露

sec随谈 sec随谈

sec随谈

2026年6月22日 09:21 北京

在小说阅读器读本章

去阅读

潜伏27年的漏洞终被发现

Argus 公司的研究人员公开披露了一个存在于 OpenBSD 操作系统中长达27年却未被发现的身份验证绕过漏洞。该漏洞被追踪为 CVE-2026-55706，允许攻击者在不掌握任何凭据的情况下，绕过 OpenBSD PPP 协议栈上的 PAP 登录验证。值得关注的是，研究团队同时发布了完整的技术细节和可运行的概念验证利用代码。

该漏洞位于 OpenBSD sppp(4) 子系统中的 sppp_pap_input() 函数内，该代码负责处理同步 PPP 链路，是 PPPoE 连接的底层基础。

OpenBSD 身份验证绕过漏洞的工作原理

该漏洞的成因几乎简单得令人难以置信。当 OpenBSD 充当 PAP 认证方时，它使用 bcmp 函数对对端的用户名和密码进行比较。然而，比较长度直接来源于传入的 PAP 数据帧，这意味着攻击者可对其进行控制。

由于 bcmp 在长度为零时返回 0，因此提供空的用户名和密码字段可使两项检查均通过。结果是失败分支永远不会执行，OpenBSD 随即回复 PAP_ACK，在完全没有凭据的情况下完成身份验证。

第二个问题与第一个共享相同的根本原因：提供超长的用户名长度会使 bcmp 越过已分配的缓冲区，从而泄露相邻的内核堆内存。

可通过 PPPoE 发起攻击，无需任何凭据

上述两个漏洞均存在于 PPPoE 数据路径上。因此，在同一广播域内运行恶意 PPPoE 服务器的攻击者可冒充合法服务器。一旦握手完成，OpenBSD 便会将受害者的流量路由至攻击者的端点，从而实现流量拦截或中间人攻击。

该攻击向量属于网络相邻型，而非互联网范围内的攻击。因此，MITRE 将 CVE-2026-55706 评定为 5.8 分（中等）。尽管如此，在不受信任的二层网段上运行 PPPoE 身份验证的场景中，其影响依然不容小觑。

技术细节与概念验证利用代码已公开

研究人员在 QEMU/KVM 环境中针对 OpenBSD 7.6（amd64）验证了该攻击。完整的27年漏洞溯源分析已发布于 Argus 博客，概念验证利用脚本也已一并公开，可在空字段情况下完成握手并触发 PAP_ACK。

该漏洞模式可追溯至1999年7月从 FreeBSD 引入的代码。2009年的一次将凭据迁移至动态分配的变更，后来引入了堆越界读取问题。值得注意的是，同一文件中的 CHAP 处理程序始终使用了正确的精确长度检查，而 PAP 处理程序却从未获得同样的修复。

当前应对措施

OpenBSD 开发者 mvs 于2026年6月14日提交了修复补丁，距负责任披露仅两天。该补丁在每次比较前添加了精确长度检查，同时修复了绕过漏洞和越界读取问题。

管理员应尽快更新至已修复的 OpenBSD 版本。与此同时，依赖 PPPoE PAP 认证的团队应将其二层网段视为不受信任的环境，并密切监控是否存在恶意接入集中器。

参考链接：

https://blog.argus-systems.ai/blog/openbsd-pap-27-year-auth-bypass.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《潜伏27年的OpenBSD身份验证绕过漏洞：技术细节与概念验证利用代码已公开披露》