En sikkerhedsforsker har offentliggjort udnyttelseskode til AtlasVPN til Linux, som kunne gøre det muligt for enhver at afbryde en bruger og afsløre deres IP-adresse blot ved at lokke dem til et websted.
AtlasVPN er en "freemium" virtuel privat netværkstjeneste (VPN) ejet af NordVPN. På trods af at være kun 4 år gammel, ifølge dens hjemmeside, den bruges af mere end 6 millioner mennesker verden over.
Den 1. september, efter at have modtaget noget svar fra leverandøren, udsendte en uidentificeret forsker (omtalt af deres Full Disclosure-mailingliste-brugernavn, "icudar") udnyttelseskode til AtlasVPN Linux til mailinglisten for fuld afsløring , Reddit. Ved blot at kopiere og indsætte denne kode til deres eget websted, kan enhver mærkelig hacker afbryde enhver AtlasVPN-bruger fra deres private netværk og afsløre deres IP-adresse i processen.
"Da hele formålet med VPN'en er at maskere denne information, er dette et ret betydeligt problem for brugerne," siger Shawn Surber, seniordirektør for teknisk kontostyring hos Tanium.
Sådan fungerer AtlasVPN-udnyttelsen
Problemet med AtlasVPNs Linux-klient bunder i mangel på korrekt autentificering.
"Klienten forbinder ikke via en lokal socket eller nogen anden sikker måde, men i stedet åbner den en API på localhost på port 8076. Den har IKKE nogen godkendelse,” skrev icudar i sine online indlæg. "Denne port kan tilgås af ethvert program, der kører på computeren, inklusive browseren."
Surber gætter på, at "denne sårbarhed ser ud til at være forårsaget af den antagelse, at Cross-Origin Resource Sharing (CORS) beskyttelse ville forhindre det." CORS er en mekanisme, hvorved et domæne kan anmode om ressourcer fra et andet.
As andre forskere har påpeget, dog glider udnyttelsen let forbi CORS ved at sende en type anmodning, den ikke markerer. "CORS er designet til at forhindre datatyveri og belastning af eksterne ressourcer. I dette scenarie bruger angrebet en simpel kommando, som glider gennem CORS-handsken og i dette tilfælde slukker VPN'en, hvilket øjeblikkeligt afslører brugerens IP og dermed generelle placering,” forklarer Surber.
Hvad dette betyder for VPN-brugere
For at teste omfanget af sårbarheden skrev icudar ondsindet JavaScript, der ville anmode om port 8076 og med succes afbryde VPN'en og derefter anmode om at lække brugerens IP-adresse.
"Det viser, at AtlasVPN ikke tager deres [brugeres] sikkerhed alvorligt, fordi deres softwaresikkerhedsbeslutninger suger så massivt, at [det er] svært at tro, at dette er en fejl snarere end en bagdør," skrev de.
Der er endnu ingen beviser for, at AtlusVPNs sårbarhed bliver udnyttet i naturen. I et svar via Reddit skrev lederen af it-afdelingen hos AtlusVPN, at virksomheden løser problemet, vil underrette alle Linux-klientbrugere og frigive en patch "så hurtigt som muligt."
I en skriftlig erklæring til Dark Reading kunne AtlusVPN ikke give en nøjagtig tidslinje for sin patch, men forsikrede, at "vi arbejder aktivt på at rette op på sårbarheden så hurtigt som muligt."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- ChartPrime. Løft dit handelsspil med ChartPrime. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.darkreading.com/application-security/atlasvpn-linux-zero-day-disconnects-users-reveals-ip-addresses
- :har
- :er
- :ikke
- 1
- 7
- a
- af udleverede
- Konto
- kontoadministration
- aktivt
- adresse
- adresser
- Efter
- Alle
- an
- ,
- En anden
- enhver
- api
- kommer til syne
- ER
- AS
- antagelse
- sikker
- At
- angribe
- Godkendelse
- bagdør
- BE
- fordi
- være
- Tro
- browser
- Bug
- men
- by
- CAN
- tilfælde
- forårsagede
- kunde
- kode
- selskab
- computer
- Tilslut
- kopiering
- kunne
- mørk
- Mørk læsning
- data
- afgørelser
- Afdeling
- konstrueret
- Trods
- Direktør
- videregivelse
- gør
- domæne
- ned
- nemt
- muliggøre
- Hele
- bevismateriale
- Forklarer
- Exploit
- Exploited
- Til
- fra
- fuld
- Gauntlet
- Generelt
- hacker
- Hård Ost
- Have
- hoved
- hans
- HTTPS
- straks
- in
- Herunder
- oplysninger
- i stedet
- IP
- IP-adresse
- IP-adresser
- spørgsmål
- IT
- ITS
- JavaScript
- jpg
- lige
- Mangel
- lække
- linux
- Liste
- lastning
- lokale
- placering
- mailing
- ledelse
- maske
- massivt
- midler
- mekanisme
- million
- mere
- netværk
- ingen
- NordVPN
- of
- off
- Gammel
- on
- ONE
- online
- åbner
- or
- Andet
- uden for
- egen
- ejede
- forbi
- patch
- Mennesker
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- indsendt
- Indlæg
- smuk
- forhindre
- private
- Problem
- behandle
- Program
- passende
- give
- offentliggjort
- formål
- hellere
- Læsning
- modtagende
- benævnt
- frigive
- anmode
- forsker
- forskere
- ressource
- Ressourcer
- svar
- afsløre
- afslører
- kører
- s
- Sikkerhed
- siger
- scenarie
- sikker
- sikkerhed
- afsendelse
- senior
- syv
- alvorlig
- tjeneste
- deling
- Shawn
- Shows
- signifikant
- Simpelt
- ganske enkelt
- siden
- websted
- So
- Software
- snart
- Statement
- Succesfuld
- Tag
- Teknisk
- prøve
- end
- at
- tyveri
- deres
- Them
- derefter
- derfor
- de
- denne
- selvom?
- Gennem
- tidslinje
- til
- vender
- typen
- anvendte
- Bruger
- brugere
- bruger
- sælger
- via
- Virtual
- VPN
- sårbarhed
- we
- Hjemmeside
- som
- Wikipedia
- Wild
- vilje
- med
- arbejder
- verdensplan
- ville
- skriftlig
- skrev
- år
- endnu
- zephyrnet