Zo bescherm je Transmission tegen het DNS-rebinding lek
De Google-onderzoeker Tavis Ormandy heeft een ernstig beveiligingslek aan het licht gebracht in de torrentclient Transmission. Ik laat je ook zien hoe misbruik van dit lek heel simpel kan voorkomen.
Dit lek biedt een aanvaller de mogelijkheid om vanop afstand een bepaalde code op het systeem uit te voeren. Ormandy verstuurde een waarschuwing naar de ontwikkelaars op 29 november 2017 waarna hij op 1 december ook meteen een patch aanleverde welke het probleem moet oplossen.
Fix: Zo beveilig je Tranmission tegen het DNS-rebinding lek
- Open de Transmission instellingen
- Kies het tabblad "Remote"
- Vink "Enable remote access" UIT
“In eerste instantie leek het mij dat de onderzoekers bereid waren om de patch te gaan gebruiken. Echter gaven ze aan dat ze het tot aan het begin van 2018 te druk hadden om deze te implementeren. In tussentijd mocht ik geen update ontvangen waardoor ik hen op 7 januari van dit jaar terug heb benaderd”
Na twee dagen liet de Google-onderzoeker optekenen dat hij het bijzonder frustrerend vond dat de Transmission-ontwikkelaars zelfs niet de moeite namen om te reageren op hun eigen security-mailinglijst. Op basis hiervan zou hij diens vaststellingen openbaar maken waardoor distributies die er voor kiezen om Transmission standaard mee te leveren zelf de patch zouden kunnen gaan toepassen.
90 dagen tijd om beveiligingslekken te verhelpen
Op het ogenblik dat er een beveiligingslek is gerapporteerd geeft Google ontwikkelaars 90 dagen de tijd om het probleem te verhelpen. Ormandy liet optekenen dat hij zich niet kan herinneren dat het ooit zo lang heeft geduurd vooraleer er door ontwikkelaars actie werd ondernomen met betrekking tot het patchen van een kwetsbaarheid.
“Op het ogenblik dat de kwetsbaarheid wordt vastgesteld bij een open-source project is het doorgaans niet eens vereist om de 90 dagen tijd te vermelden. In het merendeel van de gevallen wordt er dan ook meteen actie ondernomen. Vaak is dit slechts een kwestie van uren en absoluut niet van maanden”
Aangezien de ontwikkelaars achter Transmission echter niet de moeite namen om te reageren en de deadline van 90 dagen naderde besloot Ormandy de ontwikkelaars op hun plichten te wijzen. Het zou voor het eerst zijn in de geschiedenis van Google dat een opensourceproject de limiet overschrijdt.
DNS-rebinding-aanval
Het onderzoek van Ormandy bracht aan het licht dat Transmission kwetsbaar is voor een zogenaamde DNS-rebinding-aanval. De gebruikersinterface doet dienst als client terwijl de daemon op de achtergrond draait en het downloaden en aanbieden van torrents beheert. Deze daemon accepteert standaard uitsluitend verzoeken afkomstig van de localhost. Door gebruik te maken van DNS-rebinding slaagde Ormandy er echter in om de Transmission-interface te bedienen.
In principe volstaat het voor de gebruiker uitsluitend om hiervoor een kwaadaardige website te bezoeken. Andere interactie is dan ook niet vereist.