Un ricercatore di sicurezza ha individuato una grave vulnerabilità zero-day in Atlas VPN. Le versione per Linux consente la disconnessione remota della VPN, quindi un sito web potrebbe scoprire il vero indirizzo IP del dispositivo. Un portavoce di Atlas VPN ha confermato il problema, promettendo il rilascio di un fix in tempi brevi.
Atlas VPN per Linux svela l’indirizzo IP reale
Lo scopo principale di una VPN è quella di garantire la privacy durante la navigazione. Un ricercatore ha invece scoperto una vulnerabilità zero-day nella versione 1.0.3 di Atlas VPN per Linux che svela l’indirizzo IP reale. L’app ha due componenti: il demone (atlasvpnd) che gestisce la connessione e il client (atlasvpn) che controlla le operazioni di connessione e disconnessione.
Il client sfrutta una API che si connette all’indirizzo 127.0.0.1 (localhost) sulla porta 8076 senza nessuna autenticazione. L’exploit “proof-of-concept” scritto dal ricercatore utilizza codice JavaScript per creare un form nascosto che si collega all’URL http://127.0.0.1:8076/connection/stop.
La API riceve il comando e termina automaticamente la connessione alla VPN, svelando il vero indirizzo IP del dispositivo. Un malintenzionato potrebbe inserire il codice JavaScript in un sito web e scoprire l’indirizzo, sfruttando la vulnerabilità. Dall’indirizzo IP è quindi possibile risalire alla posizione geografica approssimata.
Un altro ricercatore ha spiegato che l’exploit aggira la protezione CORS (Cross-Origin Resource Sharing) dei browser, in quanto le richieste sono inviate alla API di Atlas VPN tramite form. La software house ha comunicato che rilascerà un fix nel minor tempo possibile. Nel frattempo è meglio evitare l’uso di Atlas VPN su Linux.
Ti potrebbe interessare
6 set 2023