官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Atlas VPN 已确认存在一个零日漏洞,该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前,发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。
关于 Atlas VPN 零日漏洞
Atlas VPN提供 "免费 "和付费的 "高级 "VPN解决方案,可以改变用户的IP地址,以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。
此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3(即最新版本)。
发帖者解释了漏洞的根本原因,首先,AtlasVPN Linux 客户端由两部分组成,守护进程(atlasvpnd)由管理连接,客户端(atlasvpn)由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接,而是在 8076 端口的 localhost 上打开一个 API时,它没有任何身份验证。计算机上运行的任何程序,包括浏览器,都可以访问这个端口。
简而言之,通过恶意脚本,任何网站都可以向 8076 端口提出断开 VPN 连接的请求,然后运行另一个请求,泄露用户的 IP 地址。
成功 "攻击 "的前提条件是访问者使用 Linux,并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然,这也限制了潜在受害者的数量。
修复程序正在开发中
Atlas VPN 的通信主管 Rūta Čižinauskaitė 说:我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说,由于该漏洞,恶意行为者可能会断开应用程序,从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。
目前,该公司正在努力尽快修复这个容易被利用的漏洞,一旦问题得到解决,就会提示用户将其 Linux 应用程序更新到最新版本。
Čižinauskaitė还表示,他们将在开发过程中实施更多的安全检查,以避免未来出现此类漏洞。
参考链接:https://www.helpnetsecurity.com/2023/09/05/atlas-vpn-zero-day-vulnerability/