qBittorrent исправляет уязвимость из-за которого пользователи подвергались MitM-атакам в течение 14 лет

В qBittorrent устранен недостаток удаленного выполнения кода, вызванный неспособностью проверить сертификаты SSL/TLS в DownloadManager управляющем загрузками в приложении.

Уязвимость, добавленная в git 6 апреля 2010 года, в итоге была исправлена в последнем выпуске в версии 5.0.1 от 28 октября 2024 года, более чем через 14 лет.

qBittorrent – это бесплатный клиент с открытым исходным кодом для загрузки и обмена файлами по протоколу BitTorrent. Кроссплатформенность, IP-фильтрация, встроенная поисковая система, поддержка RSS-каналов и современный интерфейс на базе Qt сделали его особенно популярным.

Как отметил в своем блоге исследователь безопасности Sharp Security, команда исправила заметный недостаток, не проинформировав об этом пользователей должным образом и не присвоив проблеме CVE.

Одна проблема, несколько рисков

Основная проблема заключается в том, что с 2010 года qBittorrent принимал любые сертификаты, в том числе поддельные/нелегитимные, что позволяло злоумышленникам, занимающим позицию «человек посередине», изменять сетевой трафик.

В qBittorrent класс DownloadManager игнорировал все ошибки проверки SSL-сертификатов, которые когда-либо происходили, на всех платформах, в течение 14 лет и 6 месяцев, начиная с 6 апреля 2010 года с коммита 9824d86. Поведение по умолчанию изменилось на проверку 12 октября 2024 года с коммитом 3d9e971. Первым исправлением стала версия 5.0.1
- объясняет исследователь безопасности

SSL-сертификаты помогают пользователям безопасно подключаться к легитимным серверам, проверяя подлинность сертификата сервера и доверие к нему со стороны центра сертификации (Certificate Authority, CA).

Если эта проверка пропущена, любой сервер, выдающий себя за легитимный, может перехватывать, изменять или вставлять данные в поток данных, а qBittorrent будет доверять этим данным.

Sharp Security выделяет четыре основных риска, возникающих в связи с этой проблемой:

  1. Когда Python недоступен в Windows, qBittorrent предлагает пользователю установить его через жестко зуказанный URL в коде, указывающий на исполняемый файл Python. Из-за отсутствия проверки сертификатов злоумышленник, перехвативший запрос, может заменить ответ URL на вредоносный установщик Python, который может выполнить RCE.
  2. qBittorrent проверяет наличие обновлений, получая XML-ленту по жестко заданному URL-адресу, затем анализирует ленту на предмет ссылки на скачивание новой версии. При отсутствии SSL-проверки злоумышленник может подставить в фид вредоносную ссылку на обновление, побуждая пользователя загрузить вредоносную полезную нагрузку.
  3. DownloadManager qBittorrent также используется для RSS-каналов, что позволяет злоумышленникам перехватывать и изменять содержимое RSS-каналов и внедрять вредоносные URL-адреса, выдавая их за безопасные торрент-ссылки.
  4. qBittorrent автоматически загружает сжатую базу данных GeoIP с жестко заданного URL и распаковывает ее, что позволяет эксплуатировать потенциальные ошибки переполнения памяти через файлы, полученные с поддельного сервера.

В последней версии qBittorrent, 5.0.1, устранены вышеуказанные риски, поэтому пользователям рекомендуется как можно скорее обновиться.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)