크리스토프 두메즈가 개발한 비트토렌트 클라이언트 소프트웨어인 큐빗토렌트(qBittorrent) 에서 14년 동안 사용자를 MitM 공격에 노출하는 결함 취약점 수정되었습니다.
qBittorrent는 앱 전체에서 다운로드를 관리하는 구성 요소인 애플리케이션의 DownloadManager에서 SSL/TLS 인증서를 검증하지 못해 발생하는 원격 코드 실행 결함을 해결
2010년 4월 6일 커밋에서 소개된 해당 결함은 14년 이상 지난 2024년 10월 28일 최신 릴리스 버전 5.0.1에서 결국 수정
qBittorrent는 BitTorrent 프로토콜을 통해 파일을 내려받고 공유할 수 있는 무료 오픈 소스 클라이언트
크로스 플랫폼 특성, IP 필터링,통합 검색 엔진,RSS 피드 지원 및 최신 Qt 기반 인터페이스로 인해 특히 인기가 높습니다.
그러나 보안 연구원인 Sharp Security 가 블로그 게시물에서 강조했듯이 팀은 사용자에게 이에 대해 적절하게 알리지 않고 문제에 CVE를 할당하지 않은 채 주목할 만한 결함을 수정
핵심 문제는 2010년부터 qBittorrent가 위조/불법을 포함한 모든 인증서를 허용하여 중간자 위치에 있는 공격자가 네트워크 트래픽을 수정할 수 있다는 것
모든 플랫폼에서 발생한 2010년 4월 6일부터 14년 6개월 동안 커밋 9824d86 보안 연구원은 으로 qBittorrent에서 DownloadManager 클래스는 모든 SSL 인증서 유효성 검사 오류를 무시했습니다 라고 설명
기본 동작은 2024년 10월 12일에 커밋 3d9e971을 확인하는 것으로 변경돼
첫 번째 패치 릴리스는 2일 전에 릴리스된 버전 5.0.1
SSL 인증서는 서버의 인증서가 인증 기관(CA)의 신뢰를 받는 인증인지 확인하여 사용자가 합법적인 서버에 안전하게 연결할 수 있도록 도와줌
해당 유효성 검사를 건너뛰면 합법적인 서버인 척하는 모든 서버가 데이터 스트림의 데이터를 가로채거나 수정하거나 삽입할 수 있으며 qBittorrent는 이 데이터를 신뢰
Sharp Security는 해당 문제 때문에 발생하는 네 가지 주요 위험을 강조
Windows에서 Python을 사용할 수 없는 경우 qBittorrent는 사용자에게 Python 실행 파일을 가리키는 하드 코딩된 URL을 통해 Python을 설치하라는 메시지를 표시
인증서 유효성 검사가 부족하기 때문에 요청을 가로채는 공격자가 URL의 응답을 RCE를 수행할 수 있는 악의적인 Python 설치 프로그램으로 대체할 수 있음
qBittorrent는 하드 코드 된 URL에서 XML 피드를 가져와 업데이트를 확인한 다음 새 버전의 다운로드 링크에 대한 피드를 구문 분석
SSL 유효성 검사가 부족하면 공격자는 피드의 악성 업데이트 링크를 대체하여 사용자에게 악성 페이로드를 다운로드하라는 메시지를 표시할 수 있음
qBittorrent의 DownloadManager는 RSS 피드에도 사용되므로 공격자가 RSS 피드 콘텐츠를 가로채서 수정하고 안전한 토렌트 링크인 것처럼 위장한 악성 URL을 삽입할 수 있음
qBittorrent는 하드 코딩된 URL에서 압축된 GeoIP 데이터베이스를 자동으로 다운로드하고 압축을 풀어 스푸핑된 서버에서 가져온 파일을 통해 잠재적인 메모리 오버플로 버그를 악용할 수 있음
연구원은 MitM 공격이 가능성이 거의 없는 것으로 여겨지는 경우가 많지만, 감시가 많은 지역에서는 더 흔할 수 있다고 전함
qBittorrent의 최신 버전인 5.0.1에서는 위의 위험이 해결되었으므로 사용자는 가능한 한 빨리 업그레이드하는 것이 좋습니다.
