Se ha descubierto una vulnerabilidad de seguridad crítica en qBittorrent que afecta a las versiones 3.2.1 a 5.0.0 y permite a un atacante realizar ejecución remota de código (RCE) a través de múltiples vectores de ataque.
Esta falla, que ha pasado desapercibida desde abril de 2010, permite a un atacante inyectar scripts maliciosos y ejecutar código arbitrario en un sistema afectado.
La vulnerabilidad surge de la clase DownloadManager de qBittorrent, que ha ignorado los errores de validación de certificados SSL durante casi 15 años.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Este descuido significa que el software acepta cualquier certificado, incluso uno caducado, autofirmado o malicioso, lo que facilita los ataques de intermediario (MITM). Las principales áreas donde se puede explotar esta vulnerabilidad son:
Ejecución de código Cargador ejecutable malicioso: en Windows, qBittorrent solicita al usuario que instale o actualice Python desde una URL codificada cuando lo requiere el complemento de búsqueda. Este proceso descarga, ejecuta y elimina archivos ejecutables que pueden ser secuestrados para ejecutar software malicioso. Secuestro del navegador: qBittorrent busca actualizaciones descargando fuentes RSS desde URL codificadas. Si se manipula este feed, se podría engañar al usuario para que descargue un archivo ejecutable malicioso disfrazado de actualización. Inyección de fuentes RSS: las fuentes RSS se analizan sin la validación adecuada, lo que permite a un atacante inyectar URL arbitrarias que, al hacer clic, pueden provocar la descarga y/o ejecución de contenido malicioso. Explotación de la biblioteca de descompresión: la descarga y descompresión automática de los archivos de la base de datos MaxMind GeoIP se pueden explotar si existe una vulnerabilidad en la biblioteca de descompresión, como un problema de desbordamiento del búfer en zlib.
El comportamiento predeterminado de qBittorrent se cambió para incluir la validación del certificado SSL en la confirmación 3d9e971 el 12 de octubre de 2024, y la primera versión parcheada, la versión 5.0.1, se lanzó hace apenas dos días. Sin embargo, los usuarios de versiones anteriores todavía corren riesgo. Las mitigaciones recomendadas incluyen:
Actualice a la última versión: los usuarios deben actualizar inmediatamente a la versión 5.0.1 o posterior, que incluye las correcciones de seguridad necesarias. Clientes de torrents alternativos: considere cambiar a otros clientes de torrents que no sean vulnerables a esta vulnerabilidad, como Deluge o Transmission.
Dado que qBittorrent en particular es un objetivo principal debido a su uso generalizado, esta vulnerabilidad pone a los usuarios en riesgo de sufrir muchas formas de ataques, desde infecciones de malware hasta robo de datos. La falta de validación de certificados permite a los atacantes realizar ataques MITM sin la complejidad habitual, lo que los hace más fáciles de monitorear y explotar.
El descubrimiento de esta vulnerabilidad crítica en qBittorrent resalta la importancia de las actualizaciones periódicas de software y la necesidad de medidas de seguridad sólidas en aplicaciones ampliamente utilizadas. Se insta a los usuarios a permanecer atentos, actualizar su software y considerar alternativas más seguras hasta que se implemente ampliamente un parche.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
