BitTorrent用户注意:漏洞将让黑客控制你的电脑

编者加注:BitTorrent是一种文件分发协议。它就像一个浏览器的插件,安装完成后,似乎什么都没有生成,当你连上BT下载地址时,它才启动。使用非常的方便,与HTTP、FTP等协议不同,以往这些下载的人越多速度越慢,而BT则是下载的人越多,速度越快。BT 已成为目前网上交流资源的最新方式。

导语:近日,来自谷歌Project Zero漏洞报告团队的研究人员警告称,广为流行的BitTorrent应用程序——Transmission存在一个严重的漏洞。

BitTorrent用户注意:漏洞将让黑客控制你的电脑

BitTorrent客户端Transmission被曝严重漏洞

近日,来自谷歌Project Zero漏洞报告团队的研究人员警告称,广为流行的BitTorrent应用程序——Transmission存在一个严重的漏洞,黑客可以利用该漏洞在某些用户的计算机上执行恶意代码,该团队一名研究人员还表示,其他的BitTorrent客户端可能同样会受到该漏洞影响。

据悉,Transmission 是一款深受各大PT站点喜爱的 BitTorrent 客户端,如今已经发展成为横跨三大主流桌面平台OS X、Linux和Windows的BT应用程序。

Project Zero团队研究人员Tavis Ormandy已经在上周发布了关于该漏洞的概念验(Poc)攻击代码,并详细描述了如何利用BitTorrent应用程序漏洞操纵计算机设备的过程。通常情况下,根据软件安全漏洞披露机制,Project Zero会在90天后,或是开发者修复漏洞后才会对漏洞细节进行公开披露。然而,在此次事件中,研究员Ormandy在提交给Transmission的私人报告中添加了一个用于修补该漏洞的补丁。但是Ormandy发现,直到报告提交40天后Transmission仍未应用该安全补丁修复这一漏洞,所以Ormandy最终选择了于上周二公开披露了该漏洞细节。

对此,Ormandy在周二发布的一份公开报告中写道,

令我感到沮丧的是,Transmission开发商并没有重视该漏洞以及提交的安全补丁,我之所以选择将此漏洞信息公开是为了确保公众的知情权,让Ubuntu和其他下游项目能够独立地应用这个安全补丁来修复该漏洞。

对于Ormandy的说法,Transmission开发负责人表示,他们会“尽快”发布官方修复程序,但是具体什么时间会发布新版本目前尚不确定。他表示,只有当用户启用远程访问和禁用密码保护时,该漏洞才会存在。所以,那些将未经修补的Transmission版本作为守护进程运行的用户应该确保已经启用密码保护程序。

“DNS 重组”(DNS rebinding)技术再现

Ormandy发布的概念证明(Poc)攻击代码表明,攻击者可以使用Web浏览器来控制BitTorrent应用程序,因为大多数人在使用JSON RPC接口的时候并不会启用密码保护,因为他们认为JSON RPC接口只能由具备物理访问权限的人所控制。但是,Ormandy指出,黑客可以通过被称为“DNS rebinding(DNS重组)”的攻击技术来控制JSON RPC接口,一旦受损设备用户访问了恶意网站,Transmission界面就能够被远程控制。

研究人员指出,包括Chrome浏览器和Firefox浏览器都能够被利用上述技术来攻击目标设备(包括Windows和Linux系统设备),此外,预计其他平台和浏览器也可能会受到该漏洞影响。

攻击者可以通过创建他们有权与之通信的DNS名称来利用该漏洞,然后将其解析为易受攻击的计算机的本地主机名。Ormandy在其发布补丁信息的另一篇帖子中写道:

一名用户访问了http://attacker.com这个网站,该网站代码中包含了一个由黑客控制的二级域名;

黑客控制该DNS服务器,然后使用较低的TTL值交换响应127.0.0.1和123.123.123.123这两个IP地址,其中127.0.0.1是本地IP,而123.123.123.123则是黑客控制的IP地址;

当浏览器解析到123.123.123.123 IP地址时,黑客就会通过HTML方式告诉浏览器“本地DNS解析已经过期”,然后他们就有权读取和设置标题。

攻击者可以做的事就是把Torrent下载目录更改为系统用户的主目录。然后,攻击者就可以通过命令行的方式传输一个名为“.bashrc”的文件到Torrent下载目录中,该文件可以在用户下一次打开bash shell时自动执行。此外,攻击者还可以远程重新配置Transmission,以在下载任务完成后运行他们选择的任意命令。Ormandy表示,该漏洞“复杂性相对较低,这就是我急于确保每个人都已经完成修复的原因所在。”

在一篇推文中,Ormandy称该漏洞不仅存在于Transmission应用程序之中,但是鉴于90天漏洞保护期未到,所以他暂未公布其他的应用程序名单。

本文翻译自:https://arstechnica.com/information-technology/2018/01/bittorrent-users-beware-flaw-lets-hackers-control-your-computer/

另来自绿盟消息:传输忽略私有信息披露

漏洞的技术分析表明,黑客可以改变种子的下载目录,与此同时,使用传输运行命令时下载结束。

脆弱性是最糟糕的地方传输开发人员直到现在忽略了私人信息披露,在听完解释说,他甚至包括一个补丁来解决缺陷当他第一次与该公司联系。

“我发现这令人沮丧,传输开发者不回应他们的私人安全列表,我建议将这公开化,这样独立分布可以应用补丁。 我猜他们不会回答,但是让我看看,”谷歌研究人员说。

“我从来没有一个开源项目花这么长的时间,来修正漏洞之前,所以我通常不提了90天的限制,如果漏洞是一个开源项目。 我想说平均响应时间以小时,而月如果我们谈论的是开源的。”

安全漏洞发现作为Project Zero项目的一部分,通常是披露后90天以来的第一个报告一个补丁如果母公司没有问题,如果早解决。 然而这次,听完后决定公开细节只有40天传输失败后回答他的披露。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180118A0THJT00?refer=cp_1026

同媒体快讯

扫码关注云+社区