qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет

В торрент-клиенте qBittorrent устранена уязвимость удаленного выполнения кода, вызванная неспособностью проверить сертификаты SSL/TLS в компоненте DownloadManager, который отвечает за управление загрузками во всем приложении.

Дефект, который появился в изменении исходного кода от 6 апреля 2010 года, был исправлен в последнем выпуске qBittorrent 5.0.1, 28 октября 2024 года, то есть более чем через 14 лет.

Скачать qBittorrent 5.0.1

qBittorrent - это бесплатный клиент с открытым исходным кодом для загрузки и обмена файлами по протоколу BitTorrent. Кроссплатформенность, фильтрация по IP-адресам, встроенная поисковая система, поддержка RSS-каналов и современный интерфейс на базе Qt сделали приложение особенно популярным.

Однако, как отметил в своем блоге исследователь безопасности Sharp Security, команда исправила заметный недостаток, не проинформировав об этом пользователей должным образом и не присвоив проблеме безопасности идентификатор CVE.

Одна проблема, множество рисков

Суть проблемы заключается в том, что с 2010 года qBittorrent принимал любой сертификат, в том числе поддельный/нелегитимный, что позволяло злоумышленникам проводить атаки «человек посередине» и изменять сетевой трафик.

Исследователь безопасности поясняет:

В qBittorrent класс DownloadManager игнорировал все ошибки проверки SSL-сертификатов, которые когда-либо происходили, на всех платформах, в течение 14 лет и 6 месяцев, начиная с 6 апреля 2010 года, с коммита 9824d86.

12 октября 2024 года было представлено исправление с проверкой сертификатов. Первой версией с исправлением стал qBittorrent 5.0.1, выпущенный несколько дней назад.

SSL-сертификаты помогают пользователям безопасно подключаться к легитимным серверам, проверяя подлинность сертификата сервера и доверие к нему со стороны центра сертификации (Certificate Authority, CA).

Если проверка пропущена, любой сервер, выдающий себя за легитимный, может перехватывать, изменять или вставлять данные в поток данных, а qBittorrent будет доверять этим данным.

Sharp Security выделяет четыре основных риска, возникающих в связи с этой проблемой:

• Когда интерпретатор Python недоступен в Windows, qBittorrent предлагает пользователю установить его через жестко закодированный URL, указывающий на исполняемый файл Python. Из-за отсутствия проверки сертификатов злоумышленник, перехвативший запрос, может заменить ответ URL на вредоносный установщик Python, который может производить удаленное выполнение произвольного кода.
• qBittorrent проверяет наличие обновлений, получая XML-ленту по жестко заданному URL-адресу, а затем анализирует ее на предмет ссылки на скачивание новой версии. При отсутствии SSL-проверки злоумышленник может подставить в новостную ленту вредоносную ссылку на обновление, побуждая пользователя загрузить вредоносную полезную нагрузку.
• Менеджер загрузок qBittorrent (DownloadManager) также используется для RSS-каналов, что позволяет злоумышленникам перехватывать и изменять содержимое RSS-каналов и внедрять вредоносные URL-адреса, выдаваемые за безопасные торрент-ссылки.
• qBittorrent автоматически загружает сжатую базу данных GeoIP с жестко заданного URL и распаковывает ее, что позволяет использовать потенциальные ошибки переполнения памяти через файлы, полученные с поддельного сервера.

Запуск калькулятора из qBittorrent в качестве демонстрации. Источник: Sharp Security

Исследователь отмечает, что MitM-атаки часто считают маловероятными, но они могут быть более распространены в регионах с высоким уровнем отслеживания пользователей.

В последней версии qBittorrent, 5.0.1, устранены вышеуказанные риски, поэтому пользователям рекомендуется обновиться как можно скорее.