qBittorrent, uygulama boyunca indirmeleri yöneten bir bileşen olan uygulamanın DownloadManager’ında SSL/TLS sertifikalarının doğrulanmamasından kaynaklanan uzaktan kod yürütme kusurunu giderdi.
6 Nisan 2010’da bir taahhütle ortaya çıkan kusur, 14 yıldan fazla bir süre sonra, 28 Ekim 2024’te en son sürüm olan sürüm 5.0.1’de düzeltildi.
qBittorrent, BitTorrent protokolü üzerinden dosya indirmek ve paylaşmak için kullanılan ücretsiz, açık kaynaklı bir istemcidir. Çapraz platform yapısı, IP filtrelemesi, entegre arama motoru, RSS besleme desteği ve modern Qt tabanlı arayüzü onu özellikle popüler hale getirdi.
Ancak güvenlik araştırmacısı Sharp Security’nin bir blog yazısında vurguladığı gibi ekip, kullanıcıları bu konuda yeterince bilgilendirmeden ve soruna bir CVE atamadan dikkate değer bir kusuru düzeltti.
Tek sorun, birden fazla risk
Temel sorun, 2010’dan bu yana qBittorrent’in sahte/gayri meşru dahil her türlü sertifikayı kabul etmesi ve ortadaki adam konumundaki saldırganların ağ trafiğini değiştirmesine olanak sağlamasıdır.
Güvenlik araştırmacısı, “qBittorrent’te DownloadManager sınıfı, 6 Nisan 2010’dan bu yana 14 yıl 6 ay boyunca her platformda meydana gelen tüm SSL sertifikası doğrulama hatalarını 9824d86 taahhütüyle yok saydı” diye açıklıyor.
“Varsayılan davranış, 12 Ekim 2024’te 3d9e971 taahhüdüyle doğrulama olarak değiştirildi. İlk yamalı sürüm, 2 gün önce yayınlanan sürüm 5.0.1’dir.
SSL sertifikaları, sunucunun sertifikasının orijinal olduğunu ve Sertifika Yetkilisi (CA) tarafından güvenilir olduğunu doğrulayarak kullanıcıların meşru sunuculara güvenli bir şekilde bağlanmasını sağlamaya yardımcı olur.
Bu doğrulama atlandığında, meşru gibi davranan herhangi bir sunucu veri akışına müdahale edebilir, değiştirebilir veya veri ekleyebilir ve qBittorrent bu verilere güvenir.
Sharp Security, bu sorundan kaynaklanan dört ana riskin altını çiziyor:
- Python Windows’ta kullanılamadığında, qBittorrent kullanıcıdan onu Python çalıştırılabilir dosyasına işaret eden sabit kodlu bir URL aracılığıyla yüklemesini ister. Sertifika doğrulamasının olmaması nedeniyle, isteği yakalayan bir saldırgan, URL’nin yanıtını RCE gerçekleştirebilecek kötü amaçlı bir Python yükleyicisiyle değiştirebilir.
- qBittorrent, sabit kodlanmış bir URL’den bir XML beslemesi alarak güncellemeleri kontrol eder ve ardından yeni bir sürümün indirme bağlantısı için beslemeyi ayrıştırır. SSL doğrulaması olmayan bir saldırgan, akışta kötü amaçlı bir güncelleme bağlantısının yerini alarak kullanıcının kötü amaçlı yükleri indirmesine neden olabilir.
- qBittorrent’in DownloadManager’ı aynı zamanda RSS beslemeleri için de kullanılıyor ve saldırganların RSS beslemesi içeriğini yakalayıp değiştirmesine ve güvenli torrent bağlantıları gibi görünen kötü amaçlı URL’ler eklemesine olanak tanıyor.
- qBittorrent, sıkıştırılmış bir GeoIP veritabanını sabit kodlanmış bir URL’den otomatik olarak indirir ve sıkıştırmasını açarak, sahte bir sunucudan getirilen dosyalar aracılığıyla potansiyel bellek taşması hatalarından yararlanılmasına olanak tanır.
Kaynak: Sharp Güvenlik
Araştırmacı, MitM saldırılarının genellikle olası görülmediğini ancak gözetimin yoğun olduğu bölgelerde daha yaygın olabileceğini belirtiyor.
QBittorrent’in en son sürümü olan 5.0.1, yukarıdaki riskleri ele aldığından kullanıcıların mümkün olan en kısa sürede yükseltme yapmaları önerilir.