Security

Η ευπάθεια μηδενικής ημέρας του Atlas VPN διαρρέει την πραγματική διεύθυνση IP των χρηστών

By

Marizas Dimitris

On

Σεπ 5, 2023

Μια ευπάθεια Atlas VPN

zero-day

που επηρεάζει τον πελάτη Linux διαρρέει την πραγματική διεύθυνση IP ενός χρήστη απλά με την επίσκεψη σε έναν ιστότοπο.

Το Atlas VPN είναι ένα προϊόν VPN που προσφέρει μια οικονομικά αποδοτική λύση που βασίζεται στο WireGuard και υποστηρίζει όλα τα μεγάλα λειτουργικά συστήματα.

Σε μια απόδειξη του concept exploit που κοινοποιήθηκε στο

Reddit

, ένας ερευνητής περιγράφει πώς ο πελάτης Linux του Atlas VPN, συγκεκριμένα η πιο πρόσφατη έκδοση, 1.0.3, έχει ένα τελικό σημείο API που ακούει στο localhost (127.0.0.1) μέσω της θύρας 8076.

Αυτό το API προσφέρει μια διεπαφή γραμμής εντολών (CLI) για την εκτέλεση διαφόρων ενεργειών, όπως η αποσύνδεση μιας περιόδου λειτουργίας VPN χρησιμοποιώντας τη διεύθυνση URL http://127.0.0.1:8076/connection/stop.

Ωστόσο, αυτό το API δεν εκτελεί κανένα έλεγχο ταυτότητας, επιτρέποντας σε οποιονδήποτε να εκδίδει εντολές στο CLI, ακόμη και σε έναν ιστότοπο που επισκέπτεστε.

Το Atlas VPN API οδηγεί σε μηδενική εκμετάλλευση

Ένας χρήστης του Reddit με το όνομα ‘Educational-Map-8145′ δημοσίευσε ένα

PoC exploit στο Reddit

που κάνει κατάχρηση του Atlas VPN Linux API για να αποκαλύψει τις πραγματικές διευθύνσεις IP ενός χρήστη.

Αυτό το PoC δημιουργεί μια κρυφή φόρμα που υποβάλλεται αυτόματα από την JavaScript για να συνδεθείτε στο
http://127.0.0.1:8076/connection/stop
URL τελικού σημείου API.

Όταν γίνεται πρόσβαση σε αυτό το τελικό σημείο API, τερματίζει αυτόματα τυχόν ενεργές περιόδους σύνδεσης Atlas VPN που αποκρύπτουν τη διεύθυνση IP ενός χρήστη.

Μόλις αποσυνδεθεί η σύνδεση VPN, το PoC θα συνδεθεί στο
api.ipify.org
URL για την καταγραφή της πραγματικής διεύθυνσης IP του επισκέπτη.

Πρόκειται για σοβαρή παραβίαση απορρήτου για οποιονδήποτε χρήστη VPN, καθώς αποκαλύπτει την κατά προσέγγιση φυσική του θέση και την πραγματική διεύθυνση IP, επιτρέποντάς τους να παρακολουθούνται και ακυρώνοντας έναν από τους βασικούς λόγους χρήσης ενός παρόχου VPN.

Μηχανικός κυβερνοασφάλειας της Amazon

Κρις Πάρτριτζ

δοκίμασε και επιβεβαίωσε το exploit, δημιουργώντας το παρακάτω βίντεο για να αποδείξει ότι μπορεί να χρησιμοποιηθεί για την αποκάλυψη μιας διεύθυνσης IP.

<br />

Ο Partridge εξήγησε περαιτέρω ότι το PoC παρακάμπτει το υπάρχον CORS (

Κοινή χρήση πόρων μεταξύ προέλευσης

) προστασίες σε προγράμματα περιήγησης ιστού επειδή τα αιτήματα αποστέλλονται στο Atlas VPN API ως υποβολές φορμών.

“Οι υποβολές φορμών εξαιρούνται από το CORS για λόγους παλαιού τύπου/συμβατότητας, θεωρούνται “

απλό αίτημα

“από την προδιαγραφή CORS”, είπε ο Partridge στο BleepingComputer.

Κανονικά, το CORS θα αποκλείει αιτήματα που γίνονται από σενάρια σε ιστοσελίδες σε διαφορετικούς τομείς από τον τομέα προέλευσης. Στην περίπτωση αυτής της εκμετάλλευσης, θα ήταν αιτήματα που γίνονται από οποιονδήποτε ιστότοπο στον τοπικό κεντρικό υπολογιστή επισκέπτη στη διεύθυνση “http://127.0.0.1:8076/connection/stop.”

Ωστόσο, ο Partridge εξήγησε στο BleepingComputer ότι η χρήση μιας υποβολής φόρμας για “παράκαμψη” του CORS δεν θα επέτρεπε σε έναν ιστότοπο να δει καμία απάντηση από την υποβολή της φόρμας.

Ωστόσο, σε αυτήν την περίπτωση, η απάντηση δεν είναι απαραίτητη, καθώς η υποβολή της φόρμας χρησιμοποιείται απλώς για πρόσβαση στη διεύθυνση URL για αποσύνδεση της σύνδεσης Atlas VPN στο Linux.

“Υποθέτουμε ότι τα έντυπα θα πρέπει ήδη να προστατεύουν από το CSRF. Κάτι που όπως μπορούμε να δούμε σήμερα, δεν είναι καλή υπόθεση και έχει οδηγήσει σε κάποιες ανεπιθύμητες συνέπειες”, προειδοποίησε ο Partridge.

Διορθώστε το επερχόμενο

patch

Ο χρήστης του Reddit ισχυρίζεται ότι επικοινώνησε με το Atlas VPN για το πρόβλημα, αλλά αγνοήθηκε και δεδομένου ότι η εταιρεία δεν διέθετε πρόγραμμα επιβράβευσης σφαλμάτων, η δημόσια αποκάλυψη ήταν η μόνη λογική επιλογή που είχε απομείνει.

Το Atlas VPN τελικά απάντησε στο ζήτημα τέσσερις ημέρες μετά την αποκάλυψη, ζητώντας συγγνώμη από τον δημοσιογράφο και υποσχόμενος να κυκλοφορήσει μια επιδιόρθωση για τον πελάτη Linux το συντομότερο δυνατό. Επίσης, οι χρήστες Linux θα ειδοποιηθούν όταν η ενημέρωση είναι διαθέσιμη.

Σε απάντηση στο αίτημά μας για ένα σχόλιο, ένας εκπρόσωπος του Atlas VPN έστειλε τα ακόλουθα:

“Γνωρίζουμε την ευπάθεια ασφαλείας που επηρεάζει το πρόγραμμα-πελάτη Linux μας. Λαμβάνουμε πολύ σοβαρά υπόψη την ασφάλεια και το απόρρητο των χρηστών. Ως εκ τούτου, εργαζόμαστε ενεργά για να το διορθώσουμε το συντομότερο δυνατό. Μόλις επιλυθεί, οι χρήστες μας θα λάβουν ένα μήνυμα για ενημέρωση την εφαρμογή Linux στην πιο πρόσφατη έκδοση.

Η ευπάθεια επηρεάζει την έκδοση 1.0.3 πελάτη Atlas VPN Linux. Όπως δήλωσε ο ερευνητής, λόγω της ευπάθειας, η εφαρμογή και, ως εκ τούτου, η κρυπτογραφημένη κίνηση μεταξύ ενός χρήστη και της πύλης VPN μπορεί να αποσυνδεθεί από έναν κακόβουλο παράγοντα. Αυτό θα μπορούσε να οδηγήσει στην αποκάλυψη της διεύθυνσης IP του χρήστη.

Εκτιμούμε πολύ τον ζωτικό ρόλο των ερευνητών στον τομέα της κυβερνοασφάλειας στον εντοπισμό και την αντιμετώπιση ελαττωμάτων ασφαλείας στα συστήματα, που συμβάλλει στην προστασία από πιθανές επιθέσεις στον

κυβερνοχώρο

, και τους ευχαριστούμε που έθεσαν υπόψη μας αυτήν την ευπάθεια. Θα εφαρμόσουμε περισσότερους ελέγχους ασφαλείας στη διαδικασία ανάπτυξης για να αποφύγουμε τέτοιες ευπάθειες στο

μέλλον

. Σε περίπτωση που κάποιος συναντήσει άλλες πιθανές απειλές που σχετίζονται με την υπηρεσία μας, επικοινωνήστε μαζί μας μέσω του security@Atlas VPN.com.” – Atlas VPN.

Δεδομένης της κρίσιμης φύσης αυτής της ευπάθειας zero-day, η οποία παραμένει εκμεταλλεύσιμη έως ότου κυκλοφορήσει μια ενημέρωση κώδικα, συνιστάται στους χρήστες-πελάτες Linux να λαμβάνουν άμεσες προφυλάξεις, συμπεριλαμβανομένης της εξέτασης μιας εναλλακτικής λύσης VPN.

bleepingcomputer.com

Παρόμοια άρθρα