Atlas VPN 曝零日漏洞,允许查看用户真实 IP 地址
2023-9-8 10:51:33 Author: www.freebuf.com(查看原文) 阅读量:17 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Atlas VPN 已确认存在一个零日漏洞,该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前,发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。

关于 Atlas VPN 零日漏洞

Atlas VPN提供 "免费 "和付费的 "高级 "VPN解决方案,可以改变用户的IP地址,以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。

此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3(即最新版本)。

发帖者解释了漏洞的根本原因,首先,AtlasVPN Linux 客户端由两部分组成,守护进程(atlasvpnd)由管理连接,客户端(atlasvpn)由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接,而是在 8076 端口的 localhost 上打开一个 API时,它没有任何身份验证。计算机上运行的任何程序,包括浏览器,都可以访问这个端口。

简而言之,通过恶意脚本,任何网站都可以向 8076 端口提出断开 VPN 连接的请求,然后运行另一个请求,泄露用户的 IP 地址。

成功 "攻击 "的前提条件是访问者使用 Linux,并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然,这也限制了潜在受害者的数量。

修复程序正在开发中

Atlas VPN 的通信主管 Rūta Čižinauskaitė 说:我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说,由于该漏洞,恶意行为者可能会断开应用程序,从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。

目前,该公司正在努力尽快修复这个容易被利用的漏洞,一旦问题得到解决,就会提示用户将其 Linux 应用程序更新到最新版本。

Čižinauskaitė还表示,他们将在开发过程中实施更多的安全检查,以避免未来出现此类漏洞。

参考链接:https://www.helpnetsecurity.com/2023/09/05/atlas-vpn-zero-day-vulnerability/


文章来源: https://www.freebuf.com/news/377482.html
如有侵权请联系:admin#unsafe.sh