Popularny klient torrentów pozwala na atak, a łatka nie działa – sprawdź alternatywy
Lepiej zaprzestać pobierania dystrybucji Linuksa za pomocąuTorrenta. Użytkownicy tego chyba najpopularniejszego klienta sieciBitTorrent są narażeni na atak 0-day typu DNS rebinding,pozwalający napastnikom na zdalne uruchomienie kodu na komputerzeofiary poprzez mechanizm zdalnej kontroli klienta. Niestety to niejest niespodzianka – producent oprogramowania dowiedział się ozagrożeniu na początku grudnia zeszłego roku i po prostu niezdążył przygotować na czas łatki.
Używany od ponad dziesięciu lat przez dziesiątki milionówludzi program zawiera w sobie podatność odkrytą przez słynnegobadacza Tavisa Ormandy’ego z Google Project Zero. Kilka miesięcytemu zapowiedział on, że przyjrzy się bliżej bezpieczeństwuklientów BitTorrenta – i słowa dotrzymał.
Odkryte przez niego zagrożenie dotyczy lokalnych usług,uruchamianych przez uTorrenta, które korzystają z bardzoprymitywnego modelu autentykacji – wystarczy podać w adresie URLodwołującym się do usługi odpowiedni token. Wygląda to tak:http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938:
Sęk w tym, że token ten można wydobyć z pliku users.conf,dostępnym bez konieczności uwierzytelnienia, po prostu w głównymkatalogu serwera webowego: http://localhost:19575/users.conf
Wystarczy to więc sparować z atakiem DNS rebinding, którypozwala dostać się do adresów teoretycznie dostępnych tylko wsieci wewnętrznej, stosując podmianę adresu IP domeny pomiędzyżądaniami DNS. Uważni Czytelnicy natychmiast sobie przypomną, żeraptem miesiąc temu Ormandyznalazł praktyczne taką samą podatność w programie doaktualizacji gier Blizzarda.
Realne zagrożenie też jest tej samej natury: jak pokazujeodkrywca luki, możliwe jest zdalne odpytanie w ten sposób uTorrentao listę pobranych torrentów z Linuksami i ich skopiowanie, aleprzede wszystkim, wymuszenie pobrania dowolnego pliku na dysk ofiaryi jego uruchomienie. W ten sposób można łatwo oczywiściepodrzucić ofierze malware. Działający exploit możecie znaleźćtutaj –uruchomi na Waszym komputerze z uTorrentem systemowy kalkulatorWindowsa.
90 dni, by załatać nie tę dziurę co trzeba
Najbardziej jednak w tej sprawie nieciekawie wygląda historiaujawnienia tej luki 0-day. Ormandy twierdzi, że poinformował ozagrożeniu (trywialnej przecież natury) firmę BitTorrent Inc. Jużw listopadzie zeszłego roku. Producent nie odpowiedział, siedziałcicho, a czas mijał – zasady Google Project Zero mówią, żeupublicznienie odkrycia następuje 90 dni po jego zgłoszeniu twórcomoprogramowania.
Pod koniec stycznia Ormandy odezwał się na Twitterzebezpośrednio do Brama Cohena, szefa BitTorrent Inc., ostrzegającgo, że programiści chyba nie wyrobią się z poprawkami na czas– i pytając, czy ma jakieś bezpośrednie kontakty do ludzi,którzy mogliby pomóc, bo chyba nikt nie rozumie powagi sytuacji.
Zapytanie pomogło… w pewnym sensie. W zeszłym tygodniupojawiła się wersja beta uTorrenta, w której lukę załatano. Alboprzynajmniej zrobiono takie wrażenie, dodając do procesuautentykacji drugi token, który tak samo można pobrać z publiczniedostępnego pliku.
Mamy więc sytuację, w której stabilna wersja uTorrenta jestpodatna na oryginalny exploit, wersja beta jest podatna na niecozmieniony exploit, a BitTorrent Inc. wydaje oświadczenie, z któregowynika, że poprawka jest gotowa i dostępna w kompilacji beta numer3.5.3.44352.
W tej sytuacji bardziej wierzymy Ormandy’emu niż producentowiuTorrenta. Z naszej strony zalecamy skorzystanie z innego,bezpieczniejszego klienta BitTorrenta. Może spodoba się Wam lekki iszybki qBitTorrent?Sprawdzić można też niedawno załatane (z podobnych powodów)Transmissionoraz lubiane przez wielu użytkowników Linuksa Deluge.