Популярный торрент-клиент qBittorrent оказался уязвим к удалённому выполнению кода — и проблема тянется с апреля 2010 года. Обнаруженная брешь затрагивает версии с 3.2.1 по 5.0.0 и позволяет злоумышленникам внедрять вредоносные скрипты и запускать произвольный код на компьютерах пользователей.
Суть проблемы
Причина — в классе DownloadManager, который на протяжении почти 15 лет игнорировал ошибки проверки SSL-сертификатов. Программа принимала любой сертификат: просроченный, самоподписанный или откровенно поддельный. Это открывало прямой путь для атак «человек посередине» (MITM) без каких-либо дополнительных ухищрений со стороны атакующего.
Исследователи выделили несколько конкретных векторов эксплуатации:
- Загрузчик исполняемых файлов. На Windows qBittorrent предлагает установить или обновить Python по жёстко прописанному URL, если этого требует поисковый плагин. Файл скачивается, запускается и затем удаляется — этот процесс можно перехватить и подсунуть вредоносный исполняемый файл.
- Перехват браузера. Проверка обновлений происходит через загрузку RSS-ленты по фиксированному адресу. Подменив её, злоумышленник может заставить пользователя скачать вредоносный файл под видом обновления.
- Инъекция через RSS-ленты. Ленты парсятся без должной проверки, что позволяет внедрять произвольные URL — переход по ним может привести к загрузке или запуску вредоносного содержимого.
- Эксплуатация библиотек декомпрессии. Автоматическая загрузка и распаковка базы GeoIP от MaxMind потенциально уязвима, если в используемых библиотеках декомпрессии есть баги вроде переполнения буфера в zlib.
Когда и как закрыли дыру
Проверку SSL-сертификатов по умолчанию включили только 12 октября 2024 года коммитом 3d9e971, а первый патч с исправлением — версия 5.0.1 — вышел спустя всего два дня после этого. Пользователи более старых версий по-прежнему остаются под угрозой.
Что делать
Разработчики и исследователи рекомендуют:
- Обновиться до версии 5.0.1 или новее — она уже содержит необходимые исправления безопасности.
- Рассмотреть альтернативные клиенты, например Deluge или Transmission, которые этой проблеме не подвержены.
Учитывая широкую популярность qBittorrent, уязвимость делала пользователей лёгкой мишенью для перехвата трафика, заражения вредоносным ПО и кражи данных — без необходимости обходить сложные защитные механизмы. Специалисты советуют не откладывать обновление и внимательнее относиться к безопасности даже привычных, годами используемых приложений.
Источник: Cybersecurity News.