O qBittorrent corrigiu uma falha de execução remota de código causada pela falha em validar certificados SSL/TLS no DownloadManager da aplicação, um componente que gerencia downloads em todo o app.
A falha, introduzida em um commit em 6 de abril de 2010, foi eventualmente corrigida na última versão, 5.0.1, em 28 de outubro de 2024, mais de 14 anos depois.
O qBittorrent é um cliente gratuito e open-source para baixar e compartilhar arquivos sobre o protocolo BitTorrent.
Sua natureza multiplataforma, filtragem de IP, motor de busca integrado, suporte a feeds RSS e interface moderna baseada em Qt o tornaram particularmente popular.
No entanto, como destacado em uma postagem de blog pelo pesquisador de segurança Sharp Security, a equipe corrigiu uma falha notável sem informar adequadamente os usuários sobre isso e sem atribuir um CVE ao problema.
O problema central é que desde 2010, o qBittorrent aceitou qualquer certificado, incluindo forjados/ilegítimos, permitindo aos atacantes em uma posição de man-in-the-middle modificar o tráfego de rede.
"No qBittorrent, a classe DownloadManager ignorou todo erro de validação de certificado SSL que ocorreu, em todas as plataformas, por 14 anos e 6 meses desde 6 de abril de 2010 com o commit 9824d86", explica o pesquisador de segurança.
O comportamento padrão mudou para verificação em 12 de outubro de 2024 com o commit 3d9e971.
A primeira versão corrigida é a 5.0.1, lançada há 2 dias.
Os certificados SSL ajudam a garantir que os usuários se conectem de forma segura a servidores legítimos, verificando que o certificado do servidor é autêntico e confiável por uma Autoridade Certificadora (CA).
Quando essa validação é ignorada, qualquer servidor fingindo ser o legítimo pode interceptar, modificar ou inserir dados no fluxo de dados, e o qBittorrent confiaria nesses dados.
Sharp Security destaca quatro principais riscos que surgem desse problema:
Quando o Python não está disponível no Windows, o qBittorrent solicita ao usuário que o instale por meio de uma URL codificada que aponta para um executável Python.
Devido à falta de validação de certificado, um atacante interceptando a solicitação pode substituir a resposta da URL por um instalador Python malicioso que pode realizar RCE.
O qBittorrent verifica atualizações buscando um feed XML de uma URL codificada e, em seguida, analisa o feed por um link de download da nova versão.
Sem validação SSL, um atacante poderia substituir um link de atualização malicioso no feed, induzindo o usuário a baixar payloads maliciosos.
O DownloadManager do qBittorrent também é usado para feeds RSS, permitindo que atacantes interceptem e modifiquem o conteúdo do feed RSS e injetem URLs maliciosas se passando por links de torrent seguros.
O qBittorrent baixa automaticamente um banco de dados GeoIP comprimido de uma URL codificada e o descomprime, permitindo a exploração de bugs de estouro de memória potenciais por meio de arquivos baixados de um servidor falsificado.
O pesquisador comenta que ataques MitM são frequentemente vistos como improváveis, mas eles poderiam ser mais comuns em regiões sob intensa vigilância.
A última versão do qBittorrent, 5.0.1, abordou os riscos acima, então recomenda-se que os usuários façam a atualização o quanto antes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...