Qt弱加密漏洞分析

0x00 漏洞背景

Qt是一个跨平台的C++应用程序开发框架用于创建图形用户界面GUI应用程序、命令行工具、嵌入式系统和网络应用等各种类型的应用。

Qt框架包含的Qt Network网络模块提供了QNetworkAccessManager 类该类允许应用程序发送网络请求和接收回复。其在处理响应时会根据服务器发送的“Strict-Transport-Security”的响应头来更新HSTS策略。

0x01 漏洞信息

5.09 Qt开发人员Mårten Nordheim提交漏洞修复的源码合并。

5.10 Qt漏洞修复相关的代码合并通过。

5.28 该漏洞被CVE收录其编号为CVE-2023-32762。

0x02 漏洞影响

该漏洞存在Qt 5.15.14版本之前6.2.9之前的6.X版本以及6.5.1之前的6.3.X-6.5.X版本。成因是Qt错误的解析了HSTS header当大小写不匹配的时候即使服务器明确禁止客户端也会使用未加密的连接。

0x03 漏洞分析

首先需要介绍HSTSHTTP Strict Transport Security这是一种WEB安全策略。用来防止中间人和SSL/TLS剥离攻击。HSTS通过强制客户端如Web浏览器始终使用HTTPS来保护通信即使用户手动输入的是HTTP网址。它通过在服务器的响应头中添加"Strict-Transport-Security"字段来实现。一旦浏览器收到带有HSTS头的响应它将记住该网站必须通过HTTPS进行访问并在未来的请求中自动将所有HTTP请求重定向到HTTPS。这样可以防止攻击者利用恶意重定向将用户导向不安全的HTTP连接。

随后进行漏洞分析与验证笔者选择的是Qt6.2.4版本。

用来进行HSTS测试的网址为hsts.badssl.com。

下述代码为使用QNetworkAccessManager对象发起HTTPS请求该网站以HTTPS请求的时候会返回Strict-Transport-Security响应头。Qt会隐式的调用QHstsHeaderParser类解析HSTS header随后更新QHstsCache中的策略。

manager.strictTransportSecurityHosts函数能获取当前的HSTS策略。当执行到QObject::connect内时可发现temp中添加了一项策略。

随后我们使用的http://hsts.badssl.com/会自动换成https://hsts.badssl.com/。由于本身QNetworkAccessManager发送多个网络请求的异步性这里我们使用如下代码手动添加策略

// 添加HSTS策略
 QListhstsPolicies;
 QHstsPolicy policy;
 policy.setHost("hsts.badssl.com");
 policy.setIncludesSubDomains(true);
 QDateTime expiry = QDateTime::currentDateTime().addYears(1); // 设置过期时间为1年后
 policy.setExpiry(expiry);
 hstsPolicies.append(policy);
 manager.addStrictTransportSecurityHosts(hstsPolicies);

之后发送HTTP请求

此时的响应头是HTTPS请求的响应头。

后续客户端对该域名服务器的任何HTTP请求都将被隐式的转换成HTTPS请求。

但是当服务器返回的响应头的HSTS头部是Strict-Transport-security此时Security的S变成了s。这时客户端便不会引入新的策略从而导致了继续使用明文协议HTTP。

Qt是一个开源的软件可以去定位相关的代码笔者在netword/access/qhsts.cpp中发现了产生漏洞的代码。代码使用了==将响应头字段与Strict-Transport-security进行了比较导致了大小写不匹配时HSTS策略引入失败。

0x04 修复方法

Qt开发者对源码的修复如下

• 当匹配Strict-Transport-Security字段的时候使用大小写不敏感进行匹配。

• 引入全小写的测试用例进行测试。

用户可以通过使用新版本的Qt预编译库进行漏洞修复。