Atlas VPN confirmou a existência de uma vulnerabilidade de dia zero que pode permitir que proprietários de sites descubram o endereço IP real dos usuários do Linux.
Detalhes sobre esta vulnerabilidade de dia zero, bem como o código de exploração, foram divulgados publicamente no Reddit há vários dias pela pessoa que descobriu a falha e supostamente tentou primeiro compartilhar a descoberta de forma privada com o Atlas VPN.
Sobre a vulnerabilidade de dia zero do Atlas VPN
Atlas VPN oferece uma solução VPN “freemium” e paga “premium” que altera o endereço IP dos usuários e criptografa as conexões que eles fazem com sites e serviços online. A empresa fornece um aplicativo para Windows, macOS, Linux, Android, iOS, Android TV e Amazon Fire TV.
A vulnerabilidade descoberta afeta apenas o cliente AtlasVPN para Lunux, v1.0.3 (ou seja, a versão mais atual).
“O cliente AtlasVPN Linux consiste em duas partes. Um daemon (atlasvpnd) que gerencia as conexões e um cliente (atlasvpn) que o usuário controla para conectar, desconectar e listar serviços. O cliente não se conecta através de um soquete local ou qualquer outro meio seguro, mas em vez disso abre uma API no host local na porta 8076. Ele não possui NENHUMA autenticação. Esta porta pode ser acessada por QUALQUER programa em execução no computador, incluindo o navegador”, o autor da postagem explicou a causa raiz da falha.
Resumindo, com um script malicioso, qualquer site pode criar uma solicitação à porta 8076 para desconectar a VPN e, em seguida, executar outra solicitação que vaze o endereço IP do usuário.
O requisito para um “ataque” bem-sucedido é que o visitante use Linux e use ativamente a versão 1.0.3 do cliente AtlasVPN Linux ao acessar o site. É certo que isso limita consideravelmente o conjunto de potenciais vítimas.
Chris Partridge, engenheiro de segurança e um dos moderadores do subreddit Cybersecurity, testou o script de exploração e demonstrou o ataque.
Uma correção está em andamento
Rūta Čižinauskaitė, chefe de comunicações da Atlas VPN, disse à Help Net Security que eles estão cientes da vulnerabilidade.
“A vulnerabilidade afeta o cliente Atlas VPN Linux versão 1.0.3. Conforme afirmou o pesquisador, devido à vulnerabilidade, o aplicativo e, consequentemente, o tráfego criptografado entre um usuário e o gateway VPN podem ser desconectados por um agente malicioso. Isso pode levar à divulgação do endereço IP do usuário”, disse ela.
A empresa está trabalhando para corrigir a falha facilmente explorável o mais rápido possível e, assim que o problema for resolvido, os usuários serão solicitados a atualizar seu aplicativo Linux para a versão mais recente.
O chefe do departamento de TI da Atlas VPN comentou a postagem do Reddit e pediu desculpas pela reação lenta após o pesquisador entrar em contato com o suporte da Atlas VPN. “É inaceitável e iremos abordar este processo em conformidade para que possamos reagir muito mais rapidamente no futuro”, afirmaram.
Čižinauskaitė disse à Help Net Security que eles implementarão mais verificações de segurança no processo de desenvolvimento para evitar tais vulnerabilidades no futuro, e orientou os pesquisadores e qualquer outra pessoa que possa encontrar outras ameaças potenciais relacionadas ao serviço, a contatá-los através de security@atlasvpn. com.
FONTE: HELPNET SECURITY