Java Remote Method Invocation (RMI) и Common Object Request Broker Architecture (CORBA) – широко используемые механизмы межпроцессного взаимодействия. В ходе доклада мы рассмотрим технические аспекты работы данных технологий, раскроем несколько критичных недостатков их безопасности, а также покажем, какие ошибки допускают вендоры при их внедрении. 

Данной теме уже был посвящен ряд исследований, однако, как нам кажется, они не смогли отразить степень уязвимости этих технологий. Мы представим известные, малоизвестные, а также вовсе неизвестные техники эксплуатации, задействующие до сих пор неустраненные 1-day и 0-day уязвимости и значительно расширяющие поверхность атаки на реализацию протоколов. Для демонстрации будут использованы несколько эксплойтов pre-auth и RCE для устройств крупнейших вендоров.