AtlasVPN Linux Zero-Day desconecta usuários e revela endereços IP

Views: 322
0 0
Read Time:2 Minute, 41 Second

Um pesquisador de segurança publicou um código de exploração do AtlasVPN para Linux, que poderia permitir que qualquer pessoa desconectasse um usuário e revelasse seu endereço IP simplesmente atraindo-o para um site.

AtlasVPN é um serviço de rede privada virtual (VPN) “freemium” de propriedade da NordVPN. Apesar de ter apenas 4 anos, segundo seu site , é utilizado por mais de 6 milhões de pessoas em todo o mundo.

Em 1º de setembro, após não receber resposta do fornecedor, um pesquisador não identificado (referido pelo nome de usuário da lista de discussão do Full Disclosure, “icudar”) postou o código de exploração do AtlasVPN Linux na lista de discussão do Full Disclosure e no Reddit . Simplesmente copiando e colando esse código em seu próprio site, qualquer hacker estranho poderia desconectar qualquer usuário AtlasVPN de sua rede privada e revelar seu endereço IP no processo.

“Como todo o propósito da VPN é mascarar essas informações, este é um problema bastante significativo para os usuários”, diz Shawn Surber, diretor sênior de gerenciamento técnico de contas da Tanium.

Como funciona a exploração do AtlasVPN

O problema com o cliente Linux da AtlasVPN se resume à falta de autenticação adequada.

“O cliente não se conecta por meio de um soquete local ou qualquer outro meio seguro, mas em vez disso abre uma API no host local na porta 8076. Ele não possui NENHUMA autenticação ”, escreveu icudar em suas postagens online. “Esta porta pode ser acessada por QUALQUER programa em execução no computador, incluindo o navegador.”

Surber adivinha que “esta vulnerabilidade parece ser causada pela suposição de que a proteção Cross-Origin Resource Sharing (CORS) a impediria”. CORS é um mecanismo pelo qual um domínio pode solicitar recursos de outro.

Porém, como outros pesquisadores apontaram , a exploração passa facilmente pelo CORS, enviando um tipo de solicitação que não sinaliza. “O CORS foi projetado para evitar roubo de dados e carregamento de recursos externos. Nesse cenário, o ataque usa um comando simples , que passa pelo desafio do CORS e, neste caso, desliga a VPN, expondo imediatamente o IP do usuário e, portanto, geral localização”, explica Surber.

O que isso significa para usuários de VPN

Para testar a extensão da vulnerabilidade, o icudar escreveu um JavaScript malicioso que solicitaria a porta 8076 e desconectaria a VPN com sucesso e, em seguida, solicitaria o vazamento do endereço IP do usuário.

“Isso mostra que o AtlasVPN não leva a segurança de seus [usuários] a sério, porque suas decisões de segurança de software são tão ruins que [é] difícil acreditar que isso seja um bug e não um backdoor”, escreveram eles.

Ainda não há evidências de que a vulnerabilidade do AtlusVPN esteja sendo explorada em estado selvagem. Em resposta via Reddit, o chefe do departamento de TI da AtlusVPN escreveu que a empresa está corrigindo o problema, notificará todos os usuários de clientes Linux e lançará um patch “o mais rápido possível”.

Em uma declaração escrita para Dark Reading, a AtlusVPN não pôde fornecer um cronograma exato para seu patch, mas garantiu que “estamos trabalhando ativamente para corrigir a vulnerabilidade o mais rápido possível”.

FONTE: DARK READING

POSTS RELACIONADOS