HomeSecurityΕλάττωμα στο qBittorrent εκθέτει τους χρήστες σε επιθέσεις MitM για 14 χρόνια

Ελάττωμα στο qBittorrent εκθέτει τους χρήστες σε επιθέσεις MitM για 14 χρόνια

Το qBittorrent έχει αντιμετωπίσει ένα ελάττωμα που επιτρέπει επιθέσεις MitM και προκαλείται από την αποτυχία επικύρωσης πιστοποιητικών SSL/TLS στο DownloadManager της εφαρμογής, ένα στοιχείο που διαχειρίζεται τις λήψεις σε όλη την εφαρμογή.

Δείτε επίσης: Απατεώνες εκμεταλλεύονται υπηρεσίες της Eventbrite για phishing επιθέσεις

qBittorrent MitM

Το ελάττωμα, που παρουσιάστηκε σε ένα commit στις 6 Απριλίου 2010, επιδιορθώθηκε στην τελευταία έκδοση, έκδοση 5.0.1, στις 28 Οκτωβρίου 2024, περισσότερα από 14 χρόνια αργότερα.

Το qBittorrent είναι ένας δωρεάν πελάτης ανοιχτού κώδικα για λήψη και κοινή χρήση αρχείων μέσω του πρωτοκόλλου BitTorrent. Η διαπλατφορμική φύση του, το φιλτράρισμα IP, η ενσωματωμένη μηχανή αναζήτησης, η υποστήριξη τροφοδοσίας RSS και η σύγχρονη διεπαφή που βασίζεται σε Qt το έχουν κάνει ιδιαίτερα δημοφιλές.

#secnews #robot #police 

Η αστυνομία στην Κίνα παρουσίασε το νέο ιδιαίτερο AI ρομπότ RT-G, που φέρνει επανάσταση στον κλάδο της καταπολέμησης του εγκλήματος στους δρόμους.

Το ρομπότ RT-G είναι μια σφαιρική, άφθαρτη, βαριά οπλισμένη συσκευή που μοιάζει με γιγάντια μπάλα μπόουλινγκ. Τροφοδοτείται από τεχνητή νοημοσύνη, η οποία μπορεί να το βοηθήσει να αναγνωρίσει υπόπτους, μέσω τεχνολογίας αναγνώρισης προσώπου, και να ειδοποιήσει τις αρχές επιβολής του νόμου για ύποπτη δραστηριότητα. 

Μάθετε περισσότερα για: RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
https://www.secnews.gr/634571/rt-g-pos-ena-robot-mpala-boitha-astinomia-kinas/

00:00 Εισαγωγή
00:20 Χαρακτηριστικά του ρομπότ
01:05 Πού μπορεί να χρησιμοποιηθεί το ρομπότ
02:07 Ρομπότ στην αστυνομία

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #robot #police

Η αστυνομία στην Κίνα παρουσίασε το νέο ιδιαίτερο AI ρομπότ RT-G, που φέρνει επανάσταση στον κλάδο της καταπολέμησης του εγκλήματος στους δρόμους.

Το ρομπότ RT-G είναι μια σφαιρική, άφθαρτη, βαριά οπλισμένη συσκευή που μοιάζει με γιγάντια μπάλα μπόουλινγκ. Τροφοδοτείται από τεχνητή νοημοσύνη, η οποία μπορεί να το βοηθήσει να αναγνωρίσει υπόπτους, μέσω τεχνολογίας αναγνώρισης προσώπου, και να ειδοποιήσει τις αρχές επιβολής του νόμου για ύποπτη δραστηριότητα.

Μάθετε περισσότερα για: RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
https://www.secnews.gr/634571/rt-g-pos-ena-robot-mpala-boitha-astinomia-kinas/

00:00 Εισαγωγή
00:20 Χαρακτηριστικά του ρομπότ
01:05 Πού μπορεί να χρησιμοποιηθεί το ρομπότ
02:07 Ρομπότ στην αστυνομία

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmhVcE51VXAzMTZj

RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!

SecNewsTV 7 hours ago

Ωστόσο, όπως τόνισε ο ερευνητής ασφαλείας Sharp Security σε μια ανάρτηση ιστολογίου, η ομάδα διόρθωσε ένα αξιοσημείωτο ελάττωμα χωρίς να ενημερώσει επαρκώς τους χρήστες σχετικά και χωρίς να εκχωρήσει CVE στο πρόβλημα.

Το βασικό ζήτημα είναι ότι από το 2010, το qBittorrent αποδέχτηκε οποιοδήποτε πιστοποιητικό, συμπεριλαμβανομένου του πλαστού/παράνομου, που επιτρέπει σε επιθέσεις MitM (man-in-the-middle) να τροποποιούν την κυκλοφορία δικτύου.

Τα πιστοποιητικά SSL διασφαλίζουν ότι οι χρήστες συνδέονται με ασφάλεια με νόμιμους διακομιστές, επαληθεύοντας ότι το πιστοποιητικό του διακομιστή είναι αυθεντικό και αξιόπιστο από μια Αρχή έκδοσης πιστοποιητικών (CA).

Δείτε ακόμα: Επίθεση ransomware PSAUX στοχεύει 22.000 περιπτώσεις CyberPanel

Όταν παραλείπεται αυτή η επικύρωση, οποιοσδήποτε διακομιστής που προσποιείται ότι είναι νόμιμος μπορεί να υποκλέψει, να τροποποιήσει ή να εισάγει δεδομένα στη ροή δεδομένων και το qBittorrent θα εμπιστευόταν αυτά τα δεδομένα.

Wifi ευπάθεια

Η Sharp Security επισημαίνει τέσσερις κύριους κινδύνους που προκύπτουν από αυτό το ζήτημα:

  • Όταν η Python δεν είναι διαθέσιμη στα Windows, το qBittorrent ζητά από τον χρήστη να την εγκαταστήσει μέσω μιας διεύθυνσης URL με σκληρό κώδικα που δείχνει σε ένα εκτελέσιμο αρχείο Python. Λόγω της έλλειψης επικύρωσης πιστοποιητικού, ένας εισβολέας που παρεμποδίζει το αίτημα μπορεί να αντικαταστήσει την απάντηση της διεύθυνσης URL με ένα κακόβουλο πρόγραμμα εγκατάστασης Python που μπορεί να εκτελέσει RCE.
  • Το qBittorrent ελέγχει για ενημερώσεις λαμβάνοντας μια ροή XML από μια διεύθυνση URL με έντυπη κωδικοποίηση και στη συνέχεια αναλύει τη ροή για τον σύνδεσμο λήψης μιας νέας έκδοσης. Χωρίς επικύρωση SSL, ένας εισβολέας θα μπορούσε να αντικαταστήσει έναν κακόβουλο σύνδεσμο ενημέρωσης στη ροή, προτρέποντας τον χρήστη να κατεβάσει κακόβουλα ωφέλιμα φορτία.
  • Το DownloadManager του qBittorrent χρησιμοποιείται επίσης για τροφοδοσίες RSS, επιτρέποντας στους εισβολείς να παρεμποδίζουν και να τροποποιούν το περιεχόμενο της ροής RSS και να εισάγουν κακόβουλες διευθύνσεις URL που παρουσιάζονται ως ασφαλείς σύνδεσμοι torrent.
  • Το qBittorrent κατεβάζει αυτόματα μια συμπιεσμένη βάση δεδομένων GeoIP από μια hardcoded διεύθυνση URL και την αποσυμπιέζει, επιτρέποντας την εκμετάλλευση πιθανών σφαλμάτων υπερχείλισης μνήμης μέσω αρχείων που λαμβάνονται από έναν πλαστό διακομιστή.

Δείτε επίσης: Το AI μπορεί να ενδυναμώσει τις επιθέσεις social engineering

Οι επιθέσεις Man in the Middle (MitM), όπως αυτές που επιτρέπει το ελάττωμα το qBittorrent, αποτελούν μία από τις πιο διαδεδομένες μορφές κυβερνοεπίθεσης που στοχεύουν στην υποκλοπή ευαίσθητων πληροφοριών. Σε μια τέτοια επίθεση, ο εισβολέας παρεμβάλλεται μεταξύ δύο μερών που επικοινωνούν, χωρίς να το καταλαβαίνουν αυτά τα μέρη, παρακολουθώντας και ενδεχομένως τροποποιώντας την επικοινωνία τους. Αυτές οι επιθέσεις μπορούν να πραγματοποιηθούν μέσω διαφορετικών τεχνικών, όπως η υποκλοπή μέσω μη ασφαλών δικτύων Wi-Fi, η παραποίηση της ταυτότητας DNS, και άλλα. Η προστασία από MitM επιθέσεις περιλαμβάνει τη χρήση ασφαλών πρωτοκόλλων κρυπτογράφησης όπως το HTTPS, καθώς και την έγκαιρη αναγνώριση των απειλών ασφαλείας μέσω σύγχρονων λύσεων προστασίας στον κυβερνοχώρο.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS