Valós IP-címeket fedhet fel az AtlasVPN sérülékenysége
Egy egyszerű kódrészlettel semmissé tehető az AtlasVPN Linux Client által nyújtott védelem, fedte fel egy független kutató, a javítás már úton van.
Egy nulladik napi sebezhetőség lehetőséget ad rá, hogy az AtlasVPN virtuális-magánhálózat szolgáltatását használó linuxos felhasználók valódi IP-címe láthatóvá váljon egy weboldal meglátogatása után a rosszakarók számára. A biztonsági résről Chris Partridge kutató számolt be, aki szerint az Atlas VPN Linux-kliensében (kiemelve a legújabb, 1.0.3-as verziót) található egy problémás API-végpont, mely a 8076-os porton keresztül éri el a localhostot (127.0.0.1).
A szóban forgó API egy parancssori felületet (CLI) kínál műveletek végrehajtásához, például a VPN-munkamenet leválasztásához. Mivel az API nem kér hitelesítést, bárki parancsokat adhat a CLI-nek, még az éppen meglátogatott weboldal is.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A közzétett exploit felhasználási lehetősége azonban meglehetősen korlátozott, már fertőzött webszervereken valósítható meg egy VPN-t leválasztó HTML kód beépítésével, ami akkor lendül támadásba, ha a célpont megnyitja a kódot tartalmazó weboldalt. Ennek eredményeként a felhasználók VPN-védelem nélkül férhetnek hozzá az internethez, ezzel kockáztatva IP-címük kiszivárgását.
Az AtlasVPN elismerte a biztonsági sérülékenység létezését és már aktívan dolgozik a kliens javításán. A szolgáltatás ügyfeleinek többségét alkotó Windows, Android vagy iOS felhasználókat nem érinti a probléma.
A szakértők szerint egyelőre nincs arra utaló jel, hogy a módszert élesben is bevetették volna kiberbűnözők korábban, a kockázatát azonban nem szabad lebecsülni, mivel a Linux rendszerét jellemzően az adatvédelmet fontosnak tartó felhasználók, köztük kiberbiztonsági kutatók használják.