Sebuah kerentanan critical alias berbahaya di temukan pada aplikasi BitTorrent Transmission yang banyak digunakan sehingga memungkinkan peretas mengeksekusi kode berbahaya dari komputer pengguna BitTorrent dan mengendalikannya dari jarak jauh .

Kerentanan tersebut telah ditemukan oleh tim pelaporan kerentanan Google Project Zero , dan salah satu penelitinya Tavis Ormandy juga telah melaporkan sebuah proof-of-concept alias cara kerja penyerangan 40 hari setelah laporan awal .

Biasanya , tim Proyek Zero mengungkapkan kerentanan baik setelah 90 hari melaporkannya ke vendor yang terkena dampak atau sampai vendor tersebut merilis sebuah patch .

Namun dalam kasus ini , para peneliti Proyek Zero mengungkapkan kerentanan tersebut 50 hari sebelum batas waktu sebenarnya karena pengembang Transmission gagal menerapkan patch siap pakai yang diberikan oleh para peneliti lebih dari sebulan yang lalu .

"Saya merasa frustrasi karena para pengembang Transmission tidak menanggapi daftar keamanan pribadi mereka , saya menyarankan untuk memindahkan ini ke tempat terbuka sehingga distribusi dapat menerapkan patch secara mandiri . Saya menduga mereka tidak akan menjawab , tapi mari kita lihat ." Ormandy mengatakan dalam sebuah laporan publik yang diterbitkan Selasa .

PoCalias Proof of Concept serangan yang diterbitkan oleh Ormandy mengeksploitasi fungsi Transmission tertentu yang memungkinkan pengguna mengendalikan aplikasi BitTorrent dengan web browser mereka .

Ormandy mengkonfirmasikan eksploitasi dapat bekerja di Chrome dan Firefox di Windows dan Linux (Fedora dan Ubuntu) dan percaya bahwa browser dan platform lainnya juga rentan terhadap serangan tersebut .

Aplikasi BitTorrent Transmission bekerja pada arsitektur server-client , di mana pengguna harus menginstal layanan daemon di sistem mereka untuk mengakses antarmuka berbasis web di browser mereka secara lokal .

Daemon yang diinstal pada sistem pengguna kemudian berinteraksi dengan server untuk mendownload dan mengunggah file melalui web browser menggunakan permintaan JSON RPC .

Ormandy menemukan bahwa teknik hacking yang disebut "serangan sistem nama domain yang berulang" berhasil mengeksploitasi penerapan ini , sehingga memungkinkan situs berbahaya yang dikunjungi pengguna untuk mengeksekusi kode berbahaya di komputer pengguna dari jarak jauh dengan bantuan layanan daemon yang terpasang .

Jalan terletak pada kenyataan bahwa layanan yang diinstal pada localhost dapat dimanipulasi untuk berinteraksi dengan situs web pihak ketiga.

"Saya secara teratur menemukan pengguna yang tidak menerima situs web tersebut dapat mengakses layanan di localhost atau intranet mereka" , Ormandy menulis di sebuah pos terpisah, yang mencakup patch tersebut.

"Pengguna ini mengerti bahwa layanan yang ditujukan kepada localhost hanya dapat diakses oleh perangkat lunak yang berjalan di mesin lokal dan browser mereka berjalan di mesin lokal , namun entah mengapa yakin bahwa mengakses situs web "transfers" ke tempat lain . Tapi ini adalah sumber kebingungan yang umum" .

Penyerang dapat memanfaatkan celah ini hanya dengan membuat nama DNS yang diizinkan untuk berkomunikasi dengannya dan kemudian membuatnya berhasil mengatasi nama komputer lokal yang rentan itu .


Begini cara kerja penyerangannya:

Ormandymengatakan bahwa kerentanan tersebut (CVE-2018-5702) adalah "Kesalahan beberapa kode eksekusi kecil di beberapa klien torrent populer" . Walaupun dia tidak menyebutkan aplikasi torrent lainnya karena adanya pengungkapan waktu 90 hari .

Sebuah perbaikan diperkirakan akan dirilis sesegera mungkin , seorang development official dengan Transmission mengatakan kepada ArsTechnica , tanpa menentukan tanggal yang sebenarnya .