image

Google-onderzoeker vindt ernstig lek in Transmission

dinsdag 16 januari 2018, 09:44 door Redactie, 2 reacties

Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek in de torrentclient Transmission gevonden waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Ormandy waarschuwde de ontwikkelaars op 29 november en stuurde die op 1 december een patch om het probleem te verhelpen.

"Ze leken bereid om hem te gebruiken, maar verklaarden dat ze het tot januari te druk hadden om de patch te gebruiken. Ik heb geen update ontvangen, dus heb ik ze weer op 7 januari 2018 benaderd", aldus Ormandy. Twee dagen later laat de Google-onderzoeker weten dat hij het frustrerend vindt dat de Transmission-ontwikkelaars niet op hun eigen security-mailinglist reageren. Hij suggereerde dan ook om het probleem openbaar te maken, zodat verschillende distributies die Transmission standaard meeleveren zelf een patch kunnen toepassen.

Google geeft ontwikkelaars 90 dagen de tijd om een gerapporteerd beveiligingslek te verhelpen. Volgens Ormandy heeft het nog nooit zolang voor een opensourceproject geduurd om een kwetsbaarheden te patchen. "Als de kwetsbaarheid zich in een opensourceproject bevindt noem ik meestal de limiet van 90 dagen niet eens", merkt Ormandy op. Gemiddeld genomen reageren opensourceprojecten binnen uren in plaats van maanden, aldus de onderzoeker. Aangezien in het geval van Transmission de limiet van 90 dagen naderde besloot Ormandy de ontwikkelaars hierop te wijzen. Het zou voor de eerste keer in de geschiedenis van Google zijn dat een opensourceproject de limiet overschrijdt.

Aanval

Ormandy ontdekte dat Transmission kwetsbaar is voor een dns-rebinding-aanval. De torrentclient maakt gebruik van een client-serverarchitectuur. De gebruikersinterface is de client en een daemon draait in de achtergrond en beheert het downloaden en aanbieden van torrents. De daemon accepteert standaard alleen verzoeken van localhost. Via dns-rebinding lukte het Ormandy om de Transmission-interface te bedienen. Een gebruiker zou hiervoor alleen een kwaadaardige website moeten bezoeken, verdere interactie is niet vereist.

In het geval van een succesvolle aanval kan een aanvaller de downloaddirectory voor torrents veranderen naar de home-directory van de gebruiker. Vervolgens kan de aanvaller Transmission een torrent laten downloaden genaamd ".bashrc" dat automatisch wordt uitgevoerd als de gebruiker een bash-shell opent. Aanvallers kunnen Transmission ook instellen om elke willekeurig commando te laten uitvoeren nadat een bestand is gedownload.

Volgens Ormandy is de kwetsbaarheid eenvoudig te misbruiken. Gebruikers kunnen zich beschermen door de daemon/webserver van Transmission zo in te stellen dat er een gebruikersnaam en wachtwoord is vereist. Tegenover Ars Technica laat Transmission weten dat er zo snel als mogelijk een update komt, maar een datum is niet gegeven. In 2016 wisten aanvallers de officiële versie van Transmission twee keer van een backdoor te voorzien.

Reacties (2)
16-01-2018, 16:42 door Anoniem
De torrentclient maakt gebruik van een client-serverarchitectuur. De gebruikersinterface is de client en een daemon draait in de achtergrond en beheert het downloaden en aanbieden van torrents.
Je kan Transmission inderdaad gebruiken in een client-server opstelling. Of de daemon ook nodig is en standaard aan staat hangt van je client af. Niet alle clients hebben de daemon nodig of kunnen die gebruiken.

De laatste updates van transmission zijn in april 2016 verschenen. Ormandy klaagt dat de ontwikkelaars van dit open source project traag reageren. Er zullen vast veel open source projecten zijn met een hele actieve community, maar er zijn er ook genoeg waar er bijna geen community meer is of ooit is geweest. Misschien kan Ormandy eens wat vaker bugs gaan zoeken in open source waar wel veel gebruikers van zijn maar weinig devs.
17-01-2018, 08:35 door Anoniem
Ineens een Transmission update vanochtend in Linux Mint...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.