A qBittorrent ─ az egyik legismertebb torrent kliens ─ fejlesztői CVE regisztrálása és a felhasználók figyelmeztetése nélkül javítottak egy jelentős, távoli kódfuttatást lehetővé tevő (RCE) hibát, amelyet az alkalmazás Download Manager-ét érinti, és az SSL/TLS tanúsítványok nem megfelelő kezeléséből fakad.
Egy probléma, több kockázat
A fő probléma az, hogy 2010 óta a qBittorrent bármilyen tanúsítványt elfogadott (az illegitimeket is), amely man-in-the-middle támadások során a hálózati forgalom módosítását tette lehetővé. Az SSL tanúsítványok biztosítják, hogy a felhasználók biztonságosan csatlakozzanak a kiszolgálókhoz azáltal, hogy egy megbízható hitelesítési szolgáltató (Certificate Authority – CA) ellenőrzi, hogy a kiszolgáló digitáis tanúsítványa megbízható-e. Amennyiben ez a lépés kimarad, bármely szerver legitimnek fog látszani, egy támadó közbeékelődhet az adatfolyamba, és tetszőleges kódot küldhet a felhasználó gépén futó qBittorrent kliensnek, amit az megbízhatónak fog elfogadni.
A Sharp Security 4 fő MitM támadási módot ki is emelt, amelyek ebből a biztonsági hibából eredően kihasználhatók:
- Ha a Python környezet nem érhető el egy Windows rendszeren, a qBittorrent arra kéri a felhasználót, hogy telepítse azt egy futtatható Python fájlra mutató hardkódolt URL-en keresztül. A tanúsítvány érvényesítésének hiánya miatt a kérést elfogó támadó lecserélheti az URL-t egy rosszindulatú Python telepítőre, amely képes RCE végrehajtására.
- A qBittorrent úgy keres frissítéseket, hogy lekér egy XML feedet egy hardkódolt URL-ről, majd a feedet parsolja az új verzió letöltési linkjéhez. Az SSL érvényesítés hiányában a támadó rosszindulatú frissítési hivatkozást helyezhet el a feedben, és rosszindulatú adatcsomagok letöltésére kéri a felhasználót.
- A qBittorrent DownloadManager kliens RSS feedek fogadását is támogatja. A sérülékenység lehetővé teszi egy támadó számára, hogy elfogja és módosítsa az RSS feed tartalmát, és biztonságos torrent hivatkozásoknak tűnő rosszindulatú URL-eket injektáljon.
- qBittorrent automatikusan letölt egy tömörített GeoIP adatbázist egy hardkódolt URL-ről majd kicsomagolja azt. A sérülékenység lehetővé teszi, hogy hamisított szerverről kérje le az alkalmazás ezt a fájlt, ami potenciálisan memória túlcsordulási hiba kihasználásához vezethet.
A qBittorrent legújabb, 5.0.1 verziójában javította a sebezhetőséget. A Sharp Security hozzáteszi, hogy ugyan a MitM típusú támadások nem tartoznak a leggyakoribb támadástípusok közé, mindenképp javasolt az alkalmazás frissítése.
