qBittorrent a corrigé un défaut d’exécution de code à distance causé par l’échec de la validation des certificats SSL/TLS dans le gestionnaire de téléchargement de l’application, un composant qui gère les téléchargements dans l’application.
La faille, introduite dans un commit le 6 avril 2010, a finalement été corrigée dans la dernière version, la version 5.0.1, le 28 octobre 2024, plus de 14 ans plus tard.
qBittorrent est un client gratuit et open source pour télécharger et partager des fichiers via le protocole BitTorrent. Sa nature multiplateforme, son filtrage IP, son moteur de recherche intégré, sa prise en charge des flux RSS et son interface moderne basée sur Qt l’ont rendu particulièrement populaire.
Cependant, comme l’a souligné le chercheur en sécurité Sharp Security dans un article de blog, l’équipe a corrigé une faille notable sans en informer adéquatement les utilisateurs et sans attribuer de CVE au problème.
Un problème, des risques multiples
Le problème principal est que depuis 2010, qBittorrent acceptait tout certificat, y compris falsifié/illégitime, permettant aux attaquants en position intermédiaire de modifier le trafic réseau.
« Dans qBittorrent, la classe DownloadManager a ignoré toutes les erreurs de validation de certificat SSL qui se sont produites, sur toutes les plateformes, pendant 14 ans et 6 mois depuis le 6 avril 2010 avec le commit 9824d86 », explique le chercheur en sécurité.
« Le comportement par défaut est passé à la vérification le 12 octobre 2024 avec le commit 3d9e971. La première version corrigée est la version 5.0.1, publiée il y a 2 jours.
Les certificats SSL permettent de garantir que les utilisateurs se connectent en toute sécurité à des serveurs légitimes en vérifiant que le certificat du serveur est authentique et approuvé par une autorité de certification (CA).
Lorsque cette validation est ignorée, tout serveur prétendant être légitime peut intercepter, modifier ou insérer des données dans le flux de données, et qBittorrent ferait confiance à ces données.
Sharp Security met en évidence quatre principaux risques liés à ce problème:
- Lorsque Python n’est pas disponible sous Windows, qBittorrent invite l’utilisateur à l’installer via une URL codée en dur pointant vers un exécutable Python. En raison de l’absence de validation du certificat, un attaquant interceptant la demande peut remplacer la réponse de l’URL par un programme d’installation Python malveillant capable d’exécuter RCE.
- qBittorrent vérifie les mises à jour en récupérant un flux XML à partir d’une URL codée en dur, puis analyse le flux pour le lien de téléchargement d’une nouvelle version. En l’absence de validation SSL, un attaquant pourrait substituer un lien de mise à jour malveillant dans le flux, invitant l’utilisateur à télécharger des charges utiles malveillantes.
- le gestionnaire de téléchargement qbittorrent est également utilisé pour les flux RSS, permettant aux attaquants d’intercepter et de modifier le contenu du flux RSS et d’injecter des URL malveillantes se faisant passer pour des liens torrent sûrs.
- qBittorrent télécharge automatiquement une base de données GeoIP compressée à partir d’une URL codée en dur et la décompresse, permettant l’exploitation d’éventuels bogues de débordement de mémoire via des fichiers récupérés sur un serveur usurpé.
Le chercheur commente que les attaques MitM sont souvent considérées comme improbables, mais qu’elles pourraient être plus courantes dans les régions à forte surveillance.
La dernière version de qBittorrent, 5.0.1, a résolu les risques ci-dessus, il est donc recommandé aux utilisateurs de mettre à niveau dès que possible.