Sérülékenység az Atlas VPN-ben: hozzáférhető a felhasználók valódi IP-címe

Az Atlas VPN Linux kliensében talált nulladik napi sérülékenységen keresztül kiszivároghatnak a felhasználók valódi IP-címei, például egy weboldal meglátogatásakor.

Az Atlas VPN egy költséghatékony VPN szolgáltatás, amelyet minden operációs rendszer támogat. A szoftver linuxos verzióját azonban egy jelentős sérülékenység érinti, amiről nemrég egy biztonsági kutató a Redditen osztott meg információkat, köztük a kihasználást demonstráló PoC-t.

A kutató szerint az Atlas VPN Linux kliense ─ pontosabbana legújabb, 1.0.3-as verzió ─ rendelkezik egy API végponttal, amelyen semmilyen hitelesítés nem található. Ez a gyakorlatban azt jelenti, hogy bárki adhat tetszőleges parancsokat a parancssornak (CLI). A fentebb említett probléma egy súlyos adatvédelmi incidens minden VPN-felhasználó számára, mivel ennek kihasználásával meghatározható a felhasználó hozzávetőleges tartózkodási helye és tényleges IP címe.

A kutató azt állította, hogy felvette a kapcsolatot az Atlas VPN-nel a probléma kapcsán, azonban az elmaradt válasz és a “bug bounty” program hiányában az egyetlen helyes megoldásnak a publikálást választotta. Az Atlas VPN végül négy nappal a nyilvánosságra hozatal után reagált a problémára, elnézést kértek a bejelentőtől, és ígéretet tettek arra, hogy a lehető leghamarabb kiadnak egy javítást a sérülékeny verzióhoz.

A biztonsági hibajavítás megjelenéséig az Atlas VPN Linux kliens felhasználói számára javasolt alternatív VPN megoldást alkalmazniuk.

(bleepingcomputer.com)