Un ricercatore di sicurezza ha pubblicato un codice exploit per AtlasVPN per Linux, che potrebbe consentire a chiunque di disconnettere un utente e rivelarne l'indirizzo IP semplicemente attirandolo su un sito web.
AtlasVPN è un servizio di rete privata virtuale (VPN) “freemium” di proprietà di NordVPN. Nonostante abbia appena 4 anni, secondo il suo sito web, è utilizzato da più di 6 milioni di persone in tutto il mondo.
Il 1° settembre, dopo aver ricevuto alcuna risposta dal fornitore, un ricercatore non identificato (indicato con il nome utente della mailing list Full Disclosure, "icudar") ha pubblicato il codice exploit per AtlasVPN Linux su la mailing list Full Disclosure ed Reddit. Semplicemente copiando e incollando questo codice sul proprio sito, qualsiasi hacker potrebbe disconnettere qualsiasi utente AtlasVPN dalla propria rete privata e rivelare il suo indirizzo IP nel processo.
"Poiché lo scopo della VPN è quello di mascherare queste informazioni, si tratta di un problema piuttosto significativo per gli utenti", afferma Shawn Surber, direttore senior della gestione tecnica degli account presso Tanium.
Come funziona l'exploit AtlasVPN
Il problema con il client Linux di AtlasVPN si riduce alla mancanza di un'autenticazione adeguata.
"Il client non si connette tramite un socket locale o qualsiasi altro mezzo sicuro ma apre invece un'API su localhost sulla porta 8076. Non ha NESSUNA autenticazione,” ha scritto icudar nei suoi post online. "È possibile accedere a questa porta da QUALSIASI programma in esecuzione sul computer, incluso il browser."
Surber ritiene che “questa vulnerabilità sembra essere causata dal presupposto che Protezione CORS (Cross-Origin Resource Sharing). lo impedirebbero”. CORS è un meccanismo mediante il quale un dominio può richiedere risorse da un altro.
As hanno sottolineato altri ricercatori, tuttavia, l'exploit riesce facilmente a superare CORS inviando un tipo di richiesta che non viene contrassegnato. “CORS è progettato per prevenire il furto di dati e il caricamento di risorse esterne. In questo scenario, l'attacco utilizza un semplice comando, che riesce a superare la sfida CORS e, in questo caso, disattiva la VPN, esponendo immediatamente l'IP dell'utente e quindi la posizione generale", spiega Surber.
Cosa significa per gli utenti VPN
Per testare l'entità della vulnerabilità, icudar ha scritto JavaScript dannoso che richiederebbe la porta 8076 e disconnetterebbe con successo la VPN, quindi richiederebbe di divulgare l'indirizzo IP dell'utente.
"Dimostra che AtlasVPN non prende sul serio la sicurezza dei propri [utenti], perché le loro decisioni sulla sicurezza del software fanno così schifo che [è] difficile credere che si tratti di un bug piuttosto che di una backdoor", hanno scritto.
Non ci sono ancora prove che la vulnerabilità di AtlusVPN venga sfruttata in natura. In una risposta tramite Reddit, il capo del dipartimento IT di AtlusVPN ha scritto che la società sta risolvendo il problema, avviserà tutti gli utenti client Linux e rilascerà una patch "il prima possibile".
In una dichiarazione scritta per Dark Reading, AtlusVPN non ha potuto fornire una tempistica esatta per la sua patch, ma ha assicurato che "stiamo lavorando attivamente per risolvere la vulnerabilità il prima possibile".
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/atlasvpn-linux-zero-day-disconnects-users-reveals-ip-addresses
- :ha
- :È
- :non
- 1
- 7
- a
- accessibile
- Il mio account
- gestione contabile
- attivamente
- indirizzo
- indirizzi
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- an
- ed
- Un altro
- in qualsiasi
- api
- appare
- SONO
- AS
- assunzione
- assicurato
- At
- attacco
- Autenticazione
- porta posteriore
- BE
- perché
- essendo
- CREDIAMO
- del browser
- Insetto
- ma
- by
- Materiale
- Custodie
- ha causato
- cliente
- codice
- azienda
- computer
- Connettiti
- copiatura
- potuto
- Scuro
- Lettura oscura
- dati
- decisioni
- Shirts Department
- progettato
- Nonostante
- Direttore
- Rivelazione
- effettua
- dominio
- giù
- facilmente
- enable
- Intero
- prova
- Spiega
- Sfruttare
- Exploited
- Nel
- da
- pieno
- guanto di sfida
- Generale
- degli hacker
- Hard
- Avere
- capo
- il suo
- HTTPS
- subito
- in
- Compreso
- informazioni
- invece
- IP
- Indirizzo IP
- Gli indirizzi IP
- problema
- IT
- SUO
- JavaScript
- jpg
- ad appena
- Dipingere
- perdita
- linux
- Lista
- Caricamento in corso
- locale
- località
- mailing
- gestione
- mask
- massicciamente
- si intende
- meccanismo
- milione
- Scopri di più
- Rete
- no
- NordVPN
- of
- MENO
- Vecchio
- on
- ONE
- online
- apre
- or
- Altro
- al di fuori
- proprio
- Di proprietà
- passato
- Toppa
- Persone
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- postato
- Post
- piuttosto
- prevenire
- un bagno
- Problema
- processi
- Programma
- corretto
- fornire
- pubblicato
- scopo
- piuttosto
- Lettura
- ricevente
- di cui
- rilasciare
- richiesta
- ricercatore
- ricercatori
- risorsa
- Risorse
- risposta
- rivelare
- Rivela
- running
- s
- Sicurezza
- dice
- scenario
- sicuro
- problemi di
- invio
- anziano
- Settembre
- grave
- servizio
- compartecipazione
- shawn
- Spettacoli
- significativa
- Un'espansione
- semplicemente
- da
- site
- So
- Software
- presto
- dichiarazione
- Con successo
- Fai
- Consulenza
- test
- di
- che
- Il
- furto
- loro
- Li
- poi
- perciò
- di
- questo
- anche se?
- Attraverso
- time line
- a
- si
- Digitare
- utilizzato
- Utente
- utenti
- usa
- venditore
- via
- virtuale
- VPN
- vulnerabilità
- we
- Sito web
- quale
- wikipedia
- Selvaggio
- volere
- con
- lavoro
- In tutto il mondo
- sarebbe
- scritto
- ha scritto
- anni
- ancora
- zefiro