qBittorrent悄然修复存在14年之久的中间人攻击漏洞

科技媒体bleepingcomputer于2024年10月31日发文，称知名BT下载客户端qBittorrent修复一个存在14年的中间人劫持/远程代码执行漏洞。

一、基本情况

2010年04月06日时提交的9824d86代码更新中包含漏洞，该漏洞无视任何SSL/TLS证书并可能被用于发起中间人劫持甚至远程代码执行。

该漏洞的存在主要是由于应用程序的DownloadManager组件未能有效验证SSL/TLS证书，而该组件负责的是应用程序内的所有下载管理。

当时提交的更新内容非常简单，只是将SSL验证的默认状态从启用改为禁用，这种简单的改变，使得用户无法从未经验证的来源下载内容。

这意味着无论过期证书、自签名证书还是伪造的任意证书，都会被客户端接受，也意味着攻击者可以利用漏洞发起中间人攻击 （MiTM）。

该漏洞之所以影响深远，是因为DownloadManager类涉及qBittorrent的多个核心功能，包括搜索、.torrent下载、RSS源和favicon下载等。

二、漏洞分析

由于未验证SSL证书，攻击者能够实施中间人攻击（MITM），拦截并篡改流量，从而获取敏感数据或在合法下载的幌子下安装恶意代码。

未验证SSL证书安全风险：伪造合法服务器并拦截、修改或劫持数据恶意Python安装程序的替换、篡改硬编码URL诱导用户下载恶意软件。

当然，其潜在风险还包括RSS订阅内容的劫持与篡改，以及利用qBittorrent自动下载的GeoIP数据库导致的内存溢出漏洞，影响极其严重。

然而，就是这样严重的漏洞，qBittorrent官方从未通知用户，也至今未对其分配CVE，而是悄然发布了qBittorrent v5.0.1版将修复该漏洞。

该版本经默认状态再次设置为启用，官方未对这一变化做出任何解释，也未以任何特殊的方式通知用户，除了新版本通常附带的补丁说明。

安全研究公司 Sharp Security 指出，qBittorrent 团队在通报此问题方面做得并不充分，这样就可能导致部分用户仍未意识到升级的重要性。

三、漏洞影响

qBittorrent < 5.0.1

四、修复建议

qBittorrent 5.0.1 版本开始强制SSL证书验证，相关用户应当立即升级到最新版本，或者考虑使用不具备此漏洞行为的替代torrent客户端。

五、参考链接

https://github.com/qbittorrent/qBittorrent/commit/9824d86a3cbecc9fd91f0462956ca575ef742110