QB | OKHK 👀个人数字泔水\(⁠◔⁠‿⁠◔⁠)✨ Thinking...https://tg.okhk.net#QB #qBittorrent #安全qBittorrent 存在 MITM 漏洞 近14 年来所有版本受影响TLDR;本次漏洞利用起来有些困难,由于全部涉及 MITM ,所以攻击者至少需要在物理上控制你的部分网络或是你的网络上游才能够发动攻击https://tg.okhk.net/posts/2430https://tg.okhk.net/posts/2430Fri, 01 Nov 2024 08:37:36 GMT<a href="/search/result?q=%23QB">#QB</a> <a href="/search/result?q=%23qBittorrent">#qBittorrent</a> <a href="/search/result?q=%23%E5%AE%89%E5%85%A8">#安全</a><br /><br /><b>qBittorrent 存在 MITM 漏洞 近14 年来所有版本受影响</b><br /><br />TLDR;本次漏洞利用起来有些困难,由于全部涉及 <a href="https://zh.wikipedia.org/zh-sg/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB" target="_blank">MITM</a> ,所以攻击者至少需要在物理上控制你的部分网络或是你的网络上游才能够发动攻击。<br /><br /><div> <div><b>漏洞:</b><br />类 DownloadManager <a href="https://github.com/qbittorrent/qBittorrent/blob/a126a7b4934d9e66fcedb60769523eb891da7086/src/base/net/downloadmanager.cpp#L154" target="_blank">忽略了所有的 SSL 证书</a> ,导致可以对 <mark>QB</mark> 发起任意 MITM 攻击。<br /><br /><b>可能出现的问题:</b><br />1. <a href="https://github.com/qbittorrent/qBittorrent/blob/2d185dc1c7932e775ecf5f2b0a7b7639ed8228f7/src/gui/mainwindow.cpp#L1889" target="_blank">当系统中不存在 Python 依赖时,<mark>QB</mark> 会提示安装 Python,可能导致 MITM 劫持。(Windows 用户受影响)</a><br /> 攻击者可以使用 MITM 替换下载的安装包,从而使得用户最终打开恶意软件。(仍需要用户手动点击下载下来的 .exe 文件)<br /><br /><a href="https://github.com/qbittorrent/qBittorrent/blob/8991d994c2b41b6e3a12dfb1f7c5883a4f96e83c/src/gui/programupdater.cpp#L83" target="_blank">2. <mark>QB</mark> 会提示更新 <mark>QB</mark> 版本,可能导致 MITM 劫持。(Winodws 和 Linux 下使用官方安装器安装的用户受影响)</a><br /> 由于提示更新的网址是硬编码的,所以可以轻松 MTIM 并将地址替换为恶意软件的下载地址,同时由于 <mark>QB</mark> 是一个开源软件,攻击者可以轻易的修改源码并附加后门,最终用户看起来是下载了新版本的 <mark>QB</mark>,但实际上下载了一个带有后门的 <mark>QB</mark>,除非对比文件哈希,否则无法察觉。<br /><br />3. RSS 链接可能会被 MITM 劫持(全版本受影响)<br /> <mark>QB</mark> 中所有添加的 RSS 链接都会经过 DownloadManager 的解析,所以 RSS 中的链接也可以被 MITM 劫持。</div> <span>Expand hidden content</span> </div><br /><br /><b>修复办法:</b><br />升级到 5.0.1 或更高的版本、更换为其他 BT 软件。<br /><br /><b>缓解办法:</b><br />1. 不要添加来源不明的 RSS 源或完全禁止 RSS;<br />2. 采用 <a href="https://zh.wikipedia.org/zh-sg/%E6%9C%80%E5%B0%8F%E6%9D%83%E9%99%90%E5%8E%9F%E5%88%99" target="_blank">最小权限原则</a> 运行 <mark>QB</mark>,不要直接使用 root 运行 <mark>QB</mark>;<br />3. 使用 Docker 等软件,将 <mark>QB</mark> 托管于虚拟化中;<br />4. 不要点击 <mark>QB</mark> 所弹出的升级、下载窗口中的按钮,自行安装 Python 依赖和下载新版本。<br /><br /><b>来源:</b><br /><a href="https://sharpsec.run/rce-vulnerability-in-qbittorrent/" target="_blank">夏普安全</a>