Çok kişinin kullandığı ‘Tranmission BitTorrent’ uygulamasında tespit edilen bir açık nedeniyle saldırganların BitTorrent kullanıcılarının bilgisayarlarına zararlı kodlarını yükleyerek, bu bilgisayarları kontrol edebilecekleri ortaya çıktı.
Söz konusu açık, Google’ın ‘Project Zero’ açık tespit ekibi tarafından ortaya çıkarıldı. Bu ekipte yer alan Tavis Ormandy, söz konusu olası saldırının nasıl gerçekleştirilebileceğine dair bir sunum yazısı gönderdi.
Project Zero ekibi genellikle tespit ettikleri saldırıları ilgili yazılım kurumlarına ilettikten ya da bu firmalar bildirilen açıklarla ilgili yama yayınladıktan 90 gün sonra açıklıyor.
Fakat bu son olayda araştırmacılar, konuyla ilgili bilgilendirmeyi henüz 40 gün geçmişken yapma ihtiyacı hissettiler çünkü Transmission adlı uygulamayı geliştirenler, Project Zero ekibinin bir ay önce bildirdikleri sorunla ilgili bir yama geliştirmekte başarılı olamadılar.
Saldırının Kavramsal İspatı
Ormandy’nin yayınladığı ‘Kavramsal ispat’, Transmission adlı uygulamanın özel bir fonksiyonunu kötüye kullanarak, kullanıcıların web tarayıcıları ile BitTorrent uygulamalarına imkan sağlıyor.
Ormandy, geliştirdiği saldırı aracının Chrome ve Firefox tarayıcılarda, Windows ve Linux işletim sistemleri üzerinde çalıştığını doğruladı. Diğer tarayıcı ve platformların da bu saldırıya açık olduklarını da belirtiyor.
Transmission adlı BitTorrent uygulaması, kullanıcıların yerel tarayıcıları üzerinden web tabanlı ara yüzüne erişim sağlamak için kendi sistemlerine daemon sunucusu yüklemek zorunda oldukları bir ‘sunucu-istemci’ mimarisi üzerinde çalışıyor.
Kullanıcının sistemi üzerine yüklenen daemon, dosyaların JSON RPC istemleriyle tarayıcı üzerinden indirilmesi ve yüklenmesi için sunucu ile etkileşim kuruyor.
Ormandy ‘alan adı sistem irtibatlandırma’ adını verdiği bu saldırı tekniğinin az önce belirttiğimiz kurulumu başarılı şekilde kötüye kullanarak, yüklü olan daemon servisinin yardımıyla, kullanıcının ziyaret edeceği tüm zararlı siteler üzerinde, zararlı kaynak kodun uzak kullanıcının bilgisayarına yüklenmesini sağladığını tespit etti.
Saldırının gerçekleşme şekli
Söz konusu açık, yerel sunucuda yüklü olan servislerin manipüle edilerek üçüncü taraf web siteleri ile etkileşim kurmalarının sağlanmasına dayanıyor.
Saldırganlar iletişim kurma yetkisine sahip oldukları bir DNS adı oluşturduktan sonra kurbanın yerel sunucu adı üzerine bağlayarak bu açığı istismar edebiliyorlar.
1. Kullanıcı, zararlı siteyi ziyaret eder (http://saldirgan.com). Bu site, saldırganın kontrol ettiği bir alt alan adına iframe yönlendirmesine sahiptir.
2. Saldırgan DNS sunucusunu alternatif olarak 127.0.0.1 ve 123.123.123.123 (saldırganın kontrol ettiği bir adres) ile çok düşük bir TTL ile etkileşimde bulunacak şekilde ayarlar.
3. Tarayıcı 123.123.123.123’ü çözümlediğinde DNS giriş süresinin geçmesini bekleyen bir HTML olarak hizmet eder (ya da lookup yöntemiyle ara belliği floodlayarak bağlantıyı kesilmeye zorlar). Ve böylece headerları okuma ve ayarlama izni alır.
Ormandy bu açığın (CVE-2018-5072) ‘Farklı popüler torrent sunucularında mevcut olan uzaktan erişimli kod çalıştırma açıklarının ilki’ olduğunu söylüyor fakat, 90 günlük süre dolmadığı için diğer torrent sunucularının hangileri olduğunu belirtmiyor.
