Az Atlas VPN Linux kliensében talált nulladik napi sérülékenységen keresztül kiszivároghatnak a felhasználók valódi IP-címei, például egy weboldal meglátogatásakor.
Az Atlas VPN egy költséghatékony VPN szolgáltatás, amelyet minden operációs rendszer támogat. A szoftver linuxos verzióját azonban egy jelentős sérülékenység érinti, amiről nemrég egy biztonsági kutató a Redditen osztott meg információkat, köztük a kihasználást demonstráló PoC-t.
A kutató szerint az Atlas VPN Linux kliense ─ pontosabbana legújabb, 1.0.3-as verzió ─ rendelkezik egy API végponttal, amelyen semmilyen hitelesítés nem található. Ez a gyakorlatban azt jelenti, hogy bárki adhat tetszőleges parancsokat a parancssornak (CLI). A fentebb említett probléma egy súlyos adatvédelmi incidens minden VPN-felhasználó számára, mivel ennek kihasználásával meghatározható a felhasználó hozzávetőleges tartózkodási helye és tényleges IP címe.
A kutató azt állította, hogy felvette a kapcsolatot az Atlas VPN-nel a probléma kapcsán, azonban az elmaradt válasz és a “bug bounty” program hiányában az egyetlen helyes megoldásnak a publikálást választotta. Az Atlas VPN végül négy nappal a nyilvánosságra hozatal után reagált a problémára, elnézést kértek a bejelentőtől, és ígéretet tettek arra, hogy a lehető leghamarabb kiadnak egy javítást a sérülékeny verzióhoz.
A biztonsági hibajavítás megjelenéséig az Atlas VPN Linux kliens felhasználói számára javasolt alternatív VPN megoldást alkalmazniuk.
