BitTorrent, scoperta e resa pubblica vulnerabilità critica su client
È stata scoperta e resa pubblica una vulnerabilità sul client BitTorrent Transmission, con cui un attaccante può eseguire codice malevolo da remoto sui sistemi e prenderne il controllo. La vulnerabilità è stata scoperta e divulgata dal team Project Zero di Google, con uno dei ricercatori – Tavis Ormandy – che ha pubblicato un attacco proof-of-concept dopo appena 40 giorni dal report iniziale. Una tempistica insolita e piuttosto breve per i canoni del team.
Solitamente, infatti, Project Zero rilascia i propri proof-of-concept dopo 90 giorni dal primo report, o non appena i vari produttori rilasciano una patch per correggere il problema. Le tempistiche abbreviate sono da considerarsi come una sorta di sollecito nei confronti dei produttori di Transmission, affinché questi ultimi rilascino le patch correttive necessarie ad arginare la falla. Ormandy ha scritto di recente un messaggio pubblico piuttosto esplicito:
“Trovo frustrante il fatto che gli sviluppatori di Transmission non rispondano alla loro lista di sicurezza privata, così sto rendendo pubblico il problema in modo che le distribuzioni possano applicare la patch in maniera indipendente. Credo che non risponderanno, ma vedremo”.
L’attacco PoC sfrutta una funzione del client che consente agli utenti di gestire l’app attraverso un browser web. L’exploit funziona su Chrome e Firefox, sia su Windows che su Linux (provati Fedora e Ubuntu), ma si ritiene che possa essere sfruttato anche su altri browser e piattaforme. La feature funziona su un’architettura server-client, e gli utenti devono installare un servizio daemon sui propri sistemi per accedere ad un’interfaccia web-based sul proprio browser.
Il daemon interagisce poi con il server per il download e l’upload dei file attraverso il browser utilizzando richieste JSON RPC. Sfruttando una tecnica di hacking nota come “domain name system rebinding” l’attacco potrebbe sfruttare questa implementazione consentendo a qualsiasi sito web malevolo che l’utente visita di eseguire codice malevolo sulla macchina attraverso l’uso del servizio daemon preinstallato con una procedura capace di creare un loophole.
Una volta portata a termine la procedura l’attaccante ottiene il permesso di leggere e impostare header. Ormandy sostiene che questa vulnerabilità (CVE-2018-5702) non sia presente solo su Transmission, ma è solo “la prima di alcune falle di remote code execution presenti su vari client torrent popolari”. Al momento in cui scriviamo non ha ancora menzionato i nomi degli altri client vulnerabili per via della timeline di 90 giorni fissata dal team Project Zero. (fonte)
