qBittorrent corrige falha após 14 anos
1 de Novembro de 2024

O qBittorrent corrigiu uma falha de execução remota de código causada pela falha em validar certificados SSL/TLS no DownloadManager da aplicação, um componente que gerencia downloads em todo o app.

A falha, introduzida em um commit em 6 de abril de 2010, foi eventualmente corrigida na última versão, 5.0.1, em 28 de outubro de 2024, mais de 14 anos depois.

O qBittorrent é um cliente gratuito e open-source para baixar e compartilhar arquivos sobre o protocolo BitTorrent.

Sua natureza multiplataforma, filtragem de IP, motor de busca integrado, suporte a feeds RSS e interface moderna baseada em Qt o tornaram particularmente popular.

No entanto, como destacado em uma postagem de blog pelo pesquisador de segurança Sharp Security, a equipe corrigiu uma falha notável sem informar adequadamente os usuários sobre isso e sem atribuir um CVE ao problema.

O problema central é que desde 2010, o qBittorrent aceitou qualquer certificado, incluindo forjados/ilegítimos, permitindo aos atacantes em uma posição de man-in-the-middle modificar o tráfego de rede.

"No qBittorrent, a classe DownloadManager ignorou todo erro de validação de certificado SSL que ocorreu, em todas as plataformas, por 14 anos e 6 meses desde 6 de abril de 2010 com o commit 9824d86", explica o pesquisador de segurança.

O comportamento padrão mudou para verificação em 12 de outubro de 2024 com o commit 3d9e971.

A primeira versão corrigida é a 5.0.1, lançada há 2 dias.

Os certificados SSL ajudam a garantir que os usuários se conectem de forma segura a servidores legítimos, verificando que o certificado do servidor é autêntico e confiável por uma Autoridade Certificadora (CA).

Quando essa validação é ignorada, qualquer servidor fingindo ser o legítimo pode interceptar, modificar ou inserir dados no fluxo de dados, e o qBittorrent confiaria nesses dados.

Sharp Security destaca quatro principais riscos que surgem desse problema:

Quando o Python não está disponível no Windows, o qBittorrent solicita ao usuário que o instale por meio de uma URL codificada que aponta para um executável Python.

Devido à falta de validação de certificado, um atacante interceptando a solicitação pode substituir a resposta da URL por um instalador Python malicioso que pode realizar RCE.
O qBittorrent verifica atualizações buscando um feed XML de uma URL codificada e, em seguida, analisa o feed por um link de download da nova versão.

Sem validação SSL, um atacante poderia substituir um link de atualização malicioso no feed, induzindo o usuário a baixar payloads maliciosos.

O DownloadManager do qBittorrent também é usado para feeds RSS, permitindo que atacantes interceptem e modifiquem o conteúdo do feed RSS e injetem URLs maliciosas se passando por links de torrent seguros.

O qBittorrent baixa automaticamente um banco de dados GeoIP comprimido de uma URL codificada e o descomprime, permitindo a exploração de bugs de estouro de memória potenciais por meio de arquivos baixados de um servidor falsificado.

O pesquisador comenta que ataques MitM são frequentemente vistos como improváveis, mas eles poderiam ser mais comuns em regiões sob intensa vigilância.

A última versão do qBittorrent, 5.0.1, abordou os riscos acima, então recomenda-se que os usuários façam a atualização o quanto antes.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...