Az „Educational-Map-8145” névvel rendelkező Reddit-felhasználó a múlt héten tett közzé egy koncepciópróbát az Atlas VPN Linux kliensének nulladik napi hibája miatt. A kihasználó kód a kliens legújabb, 1.0.3-as verziójával működik.
A kutató szerint az Atlas VPN Linux kliensének, különösen a legújabb verziónak (1.0.3) van egy API-végpontja, amely a localhost (127.0.0.1) 8076-os porton keresztül figyel. Ez az API parancssori felületet (CLI) kínál. különféle műveletek végrehajtásához, például VPN-munkamenet leválasztásához a http://127.0.0.1:8076/connection/stop URL használatával.
Ezzel a konfigurációval az a probléma, hogy ez az API nem végez semmilyen hitelesítést, ami lehetővé teszi bárki számára, hogy parancsokat adjon ki a CLI-nek, még a meglátogatott webhelyeknek is.
Az Atlas VPN informatikai részlegének vezetője néhány nappal később a Redditben elismerte a hibát, elnézést kérve a késedelmes válaszadásért, és megjegyezve, hogy a cég informatikai munkatársai javítják a problémát.
Edvardas Garbenis, az Atlas VPN kiberbiztonsági kutatója és kiadója megerősítette ezt az információt.
„Tisztában vagyunk a Linux kliensünket érintő biztonsági réssel. Nagyon komolyan vesszük a biztonságot és a felhasználói adatvédelmet. Ezért aktívan dolgozunk azon, hogy a lehető leghamarabb kijavítsuk” - mondta Garbenis - "A megoldást követően a felhasználók felszólítást kapnak, hogy frissítsék Linux-alkalmazásukat a legújabb verzióra."
A Garbenis nem adott határidőt a sérülékenység feloldására. Megerősítette azonban, hogy a probléma a Linux kliensre korlátozódik, és nem érinti a többi Atlas VPN-alkalmazást.
Részletek a hibáról
A Reddit bejegyzés jelezte, hogy a biztonsági rés az Atlas VPN Linux kliens 1.0.3-as verzióját érinti. Ennek eredményeként egy rosszindulatú szereplő leválaszthatja a Linux-alkalmazást és a titkosított forgalmat a Linux-felhasználó és a VPN-átjáró között, így felfedheti a felhasználó IP-címét.
A Reddit kiberkutatója a bejegyzésben elmondta, hogy még nincsenek tisztában a "vadonban" való felhasználásával. A hiba azonban megkérdőjelezte az Atlas VPN megbízhatóságát és biztonságát is.
A sebezhetőség kiváltó oka a Reddit véleménye szerint két részből áll. Egy démon (atlasvpnd) kezeli a kapcsolatokat, egy kliens (atlasvpn) pedig felhasználói vezérlőket biztosít a csatlakozáshoz, a leválasztáshoz és a szolgáltatások listázásához.
Ahelyett, hogy helyi aljzattal vagy más biztonságos csatlakozási lehetőséggel rendelkezne, a Linux-alkalmazás minden hitelesítés nélkül megnyit egy API-t a localhost 8076-os portján. Az elérő számítógépen futó bármely program – beleértve a webböngészőt is – használhatja ezt a portot. A rosszindulatú JavaScript bármely webhelyen kérést küldhet az adott portra, és leválaszthatja a VPN-t.
A Reddit véleménye szerint "Ha ezután egy másik kérést futtat, akkor ez a felhasználó otthoni IP-címét BÁRMELYIK webhelyre szivárogtatja ki a kihasználó kód használatával."
Hiba Talán nem annyira egyedi
Az infrastruktúra beállításától függően gyakran egy VPN található a peremen, lehetővé téve a belső és külső hálózatokhoz való hozzáférést. A beépített biztonsági megoldások emellett bíznak a bejövő és kimenő forgalomban is – jegyezte meg Mayuresh Dani, a Qualys IT, biztonsági és megfelelőségi cég fenyegetéskutatási menedzsere.
„A végponti VPN-kliensek ma minden eszközön jelen vannak, növelve a támadási felületet. Ez a pozicionálás vonzó célponttá teszi a VPN-eket mind a külső, mind a belső fenyegetés szereplői számára” – mondta a LinuxInsidernek.
A mai hibrid munkakörnyezetben a feltört VPN érzékeny személyes adatok elvesztésével járhat. Azt is lehetővé teszi, hogy külső támadók hozzáférjenek a belső hálózatokhoz – tette hozzá.
A VPN népszerűsége biztonsági hibákhoz vezet
A VPN-szolgáltató piaca most zsúfolt és versenyképes. Az összes internetfelhasználó körülbelül 33%-a támaszkodik a VPN-ekre, hogy elrejtse személyazonosságát vagy eltolja a származási helyét.
„Ez egy hatalmas piac, de sok játékossal. Nehéz lehet megkülönböztetni a szolgáltatókat a költségeken kívül. És ha az egy felhasználóra jutó költségek nagyon alacsonyak, ez ahhoz vezethet, hogy a szoftverek rohamosan próbálják megragadni a piacot” – javasolta Shawn Surber, a Tanium konvergens végpontkezelő cég műszaki fiókkezelési igazgatója.
Az a feltételezés, hogy a források közötti erőforrás-megosztás (CORS) védelme megakadályozza ezt, okozhatta a sérülékenységet. A mérnökök azonban úgy tervezték ezt a biztonsági funkciót, hogy megakadályozzák az adatlopást és a külső erőforrások betöltését, nem pedig a szóban forgó sérülékenységet.
Az Atlas VPN forgatókönyvében a támadás egy egyszerű parancsot használ helyette, amely átcsúszik a CORS kesztyűjén – magyarázta. Ebben az esetben kikapcsolja a VPN-t, azonnal felfedve a felhasználó IP-jét és általános tartózkodási helyét.
„Ez elég jelentős probléma a VPN-felhasználók számára. Egyelőre úgy tűnik, hogy nem tesz közzé semmilyen más adatot, és nem biztosít lehetőséget rosszindulatú programok telepítésére” – jegyezte meg.
Eszköz az új kibertámadásokhoz
Minden információ jó információ egy rosszindulatú szereplő számára. Egy tapasztalt ellenfél tudni fogja, hogyan használja fel ezeket az információkat a maga javára egy támadási kampányban – ajánlotta Nick Rago, a Salt Security API biztonsági cég műszaki igazgatója .
A social engineering szerepet játszik a kibertámadási kampány első hullámában. A megcélzott felhasználó VPN-jének letiltása, valamint IP-címük és földrajzi helyük felfedése lehetővé teszi, hogy a rossz szereplők kihasználják ezeket az információkat, hogy meggyőzőbb és hatékonyabb adathalász támadást hozzanak létre, amely a megcélzott felhasználóra szabott – mondta az Atlas VPN Linux sebezhetőségének lehetséges veszélyeiről.
„A megfelelő végpontvédelem itt kulcsfontosságú ahhoz, hogy a szervezet biztonsági csapata felfedezhesse, ha az alkalmazotti rendszerein van-e interfész, például nyílt, nem elérhető API, és ha engedélyezik, blokkolja az adott felület használatára irányuló kísérleteket. váratlan módon” – mondta.
VPN kiberbiztonsági emlékeztető
Az Atlas VPN Linux kliensének 1.0.3-as verziójában felfedezett sebezhetőség határozottan emlékeztet a VPN-szolgáltatásokhoz kapcsolódó potenciális kockázatokra, még akkor is, ha a biztonság és az adatvédelem fokozása a cél.
Míg az Atlas VPN aktívan foglalkozik a problémával, a felhasználóknak ébernek kell maradniuk, és naprakésznek kell lenniük a szoftverjavításokkal.
Ez az eset azt is aláhúzza, hogy a VPN-szolgáltatások és a rájuk támaszkodó fogyasztók szigorú biztonsági intézkedésekre – ideértve a megfelelő végpontvédelmet is – elengedhetetlenül szükségesek.
Napjaink egyre összetettebb kiberbiztonsági környezetében a biztonsági lánc minden gyenge láncszeme jelentős következményekkel járhat.