:

Szerző: Dömös Zsuzsanna

2023. szeptember 6. 12:34

Valós IP-címeket fedhet fel az AtlasVPN sérülékenysége

Egy egyszerű kódrészlettel semmissé tehető az AtlasVPN Linux Client által nyújtott védelem, fedte fel egy független kutató, a javítás már úton van.

Egy nulladik napi sebezhetőség lehetőséget ad rá, hogy az AtlasVPN virtuális-magánhálózat szolgáltatását használó linuxos felhasználók valódi IP-címe láthatóvá váljon egy weboldal meglátogatása után a rosszakarók számára. A biztonsági résről Chris Partridge kutató számolt be, aki szerint az Atlas VPN Linux-kliensében (kiemelve a legújabb, 1.0.3-as verziót) található egy problémás API-végpont, mely a 8076-os porton keresztül éri el a localhostot (127.0.0.1).

A szóban forgó API egy parancssori felületet (CLI) kínál műveletek végrehajtásához, például a VPN-munkamenet leválasztásához. Mivel az API nem kér hitelesítést, bárki parancsokat adhat a CLI-nek, még az éppen meglátogatott weboldal is.

zeroday

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A közzétett exploit felhasználási lehetősége azonban meglehetősen korlátozott, már fertőzött webszervereken valósítható meg egy VPN-t leválasztó HTML kód beépítésével, ami akkor lendül támadásba, ha a célpont megnyitja a kódot tartalmazó weboldalt. Ennek eredményeként a felhasználók VPN-védelem nélkül férhetnek hozzá az internethez, ezzel kockáztatva IP-címük kiszivárgását.

Az AtlasVPN elismerte a biztonsági sérülékenység létezését és már aktívan dolgozik a kliens javításán. A szolgáltatás ügyfeleinek többségét alkotó Windows, Android vagy iOS felhasználókat nem érinti a probléma.

A szakértők szerint egyelőre nincs arra utaló jel, hogy a módszert élesben is bevetették volna kiberbűnözők korábban, a kockázatát azonban nem szabad lebecsülni, mivel a Linux rendszerét jellemzően az adatvédelmet fontosnak tartó felhasználók, köztük kiberbiztonsági kutatók használják.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról