Бортовой журнал Ктулху

Уязвимость в qBittorrent оставалась незакрытой 14 лет

В популярном торрент-клиенте qBittorrent на протяжении 14 лет существовала уязвимость, открывающая доступ для удалённого управления программой. Уязвимость, о которой разработчики были осведомлены с 2010 года, оставалась незакрытой вплоть до недавнего времени. Исправление выпущено в последней версии qBittorrent 5.0.1, без официальных объявлений и комментариев со стороны команды разработчиков.

Сообщается, что пользователи, обновившие программу, могут быть уверены в её безопасности, однако для тех, кто использует устаревшие версии, угроза по-прежнему актуальна.

IMG 5798

Cyber Security News сообщает:

**Серьёзная уязвимость безопасности в qBittorrent: удалённое выполнение кода через несколько векторов атаки**

Была обнаружена серьёзная уязвимость безопасности в qBittorrent, затрагивающая версии от 3.2.1 до 5.0.0. Уязвимость позволяла злоумышленникам удалённо выполнять код (RCE) через несколько каналов атаки.

Слабое место, оставшееся незамеченным с апреля 2010 года, позволяет атакующим внедрять вредоносные скрипты и запускать произвольный код на уязвимых системах.

Причиной проблемы стала ошибка в классе DownloadManager в qBittorrent, который на протяжении почти 15 лет игнорировал ошибки проверки SSL-сертификатов. В результате программа принимала любые сертификаты — даже истекшие, самоподписанные или вредоносные, что облегчало атаки "человек посередине" (MITM). Ключевые области, в которых могла быть использована уязвимость, включают:

**Исполнение кода**

1. **Загрузчик вредоносных исполняемых файлов:** на Windows qBittorrent предлагает установить или обновить Python с жёстко закодированного URL, если это требуется для работы плагина поиска. В процессе загрузки и выполнения исполняемого файла, этот этап мог быть перехвачен для запуска вредоносного ПО.
2. **Перехват браузера:** qBittorrent проверяет обновления, загружая RSS-ленту с жёстко закодированного URL. В случае её изменения пользователи могли быть направлены на загрузку вредоносного обновления.
3. **Инъекция в RSS-ленту:** RSS-ленты обрабатываются без должной проверки, что позволяет атакующим внедрять произвольные URL, при переходе по которым возможно скачивание или выполнение вредоносного контента.
4. **Эксплойты библиотек декомпрессии:** автоматическая загрузка и распаковка файлов базы данных GeoIP MaxMind может быть использована для атаки при наличии уязвимостей в библиотеках декомпрессии, таких как переполнение буфера в zlib.

**Изменения и рекомендации**

Поведение по умолчанию в qBittorrent было изменено: начиная с коммита 3d9e971 от 12 октября 2024 года, была добавлена проверка SSL-сертификатов, и два дня назад вышел первый патч в версии 5.0.1. Однако пользователи старых версий по-прежнему остаются под угрозой. Рекомендуются следующие меры предосторожности:

- **Обновление до последней версии:** пользователям следует немедленно обновиться до версии 5.0.1 или более новой, в которой включены необходимые исправления.
- **Альтернативные клиенты для торрентов:** рассмотреть возможность перехода на другие клиенты, такие как Deluge или Transmission, которые не имеют данной уязвимости.

Эта уязвимость подвергает пользователей риску различных атак, от заражения вредоносным ПО до кражи данных, особенно учитывая популярность qBittorrent, что делает его приоритетной целью. Отсутствие проверки сертификатов позволило злоумышленникам осуществлять MITM-атаки с меньшими затратами, облегчая шпионаж и эксплуатацию.

Выявление этой критической уязвимости в qBittorrent подчёркивает важность регулярных обновлений ПО и наличия надёжных мер безопасности в популярных приложениях. Пользователям рекомендуется проявлять бдительность, своевременно обновлять ПО и рассматривать более безопасные альтернативы до широкого распространения патчей.