Vulnerabilidad de Atlas VPN filtra la dirección IP real de los usuarios

Una vulnerabilidad de día cero de Atlas VPN que afecta al cliente Linux filtra la dirección IP real de un usuario simplemente visitando un sitio web.

Atlas VPN es un producto VPN que ofrece una solución rentable basada en WireGuard y es compatible con los principales sistemas operativos.

En un exploit de prueba de concepto compartido en Reddit, un investigador describe cómo el cliente Linux de Atlas VPN, específicamente la última versión, 1.0.3, tiene un punto final API que escucha en localhost (127.0.0.1) a través del puerto 8076.

Esta API ofrece una interfaz de línea de comandos (CLI) para realizar diversas acciones, como desconectar una sesión VPN mediante la URL No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Sin embargo, esta API no realiza ninguna autenticación, lo que permite a cualquiera emitir comandos a la CLI, incluso a un sitio web que está visitando.

La API VPN de Atlas conduce a un exploit de día cero

Un usuario de Reddit llamado 'Educational-Map-8145' publicó un exploit PoC en Reddit que abusa de la API de Atlas VPN Linux para revelar las direcciones IP reales de un usuario.

Esta PoC crea un formulario oculto que JavaScript envía automáticamente para conectarse a la URL del punto de enlace de la No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cuando se accede a este punto de enlace de API, finaliza automáticamente cualquier sesión activa de Atlas VPN que oculte la dirección IP de un usuario.

Una vez que se desconecta la conexión VPN, la PoC se conectará a la URL para registrar la dirección IP real del No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta es una violación grave de la privacidad para cualquier usuario de VPN, ya que expone su ubicación física aproximada y su dirección IP real, lo que les permite ser rastreados y anular una de las razones principales para usar un proveedor de VPN.

El ingeniero de ciberseguridad de Amazon, Chris Partridge, probó y confirmó el exploit, creando el siguiente video para demostrar que se puede aprovechar para revelar una dirección IP.

Partridge explicó además que la PoC evita las protecciones CORS (Cross-Origin Resource Sharing) existentes en los navegadores web porque las solicitudes se envían a la API de Atlas VPN como envíos de formularios.

"Las presentaciones de formularios están exentas de CORS por razones de legado / compatibilidad, se consideran una 'solicitud simple' por la especificación de CORS", dijo Partridge a BleepingComputer.

Normalmente, CORS bloquearía las solicitudes realizadas por scripts en páginas web a dominios diferentes al dominio de origen. En el caso de este exploit, serían las solicitudes realizadas por cualquier sitio web al localhost de un visitante en "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

Sin embargo, Partridge explicó a BleepingComputer que el uso de un formulario para "omitir" CORS no permitiría que un sitio web vea ninguna respuesta del envío del formulario.

Sin embargo, en este caso, la respuesta no es necesaria, ya que el envío del formulario simplemente se utiliza para acceder a la URL para desconectar la conexión VPN de Atlas en Linux.

"Se supone que los formularios ya deberían protegerse contra el CSRF. Lo cual, como podemos ver hoy, no es una buena suposición y ha llevado a algunas consecuencias no deseadas", advirtió Partridge.

Solución próximamente en el próximo parche

El usuario de Reddit afirma que se puso en contacto con Atlas VPN sobre el problema, pero fue ignorado, y dado que la compañía no tenía un programa de recompensas de errores, la divulgación pública era la única opción lógica que quedaba.

Atlas VPN finalmente respondió al problema cuatro días después de la divulgación, disculpándose con el reportero y prometiendo lanzar una solución para su cliente Linux lo antes posible. Además, los usuarios de Linux serán notificados cuando la actualización esté disponible.

En respuesta a nuestra solicitud de comentarios, un portavoz de Atlas VPN ha enviado lo siguiente:

"Somos conscientes de la vulnerabilidad de seguridad que afecta a nuestro cliente Linux. Nos tomamos muy en serio la seguridad y la privacidad del usuario. Por lo tanto, estamos trabajando activamente para solucionarlo lo antes posible. Una vez resuelto, nuestros usuarios recibirán un mensaje para actualizar su aplicación Linux a la última versión.

La vulnerabilidad afecta al cliente Linux VPN Atlas versión 1.0.3. Como afirmó el investigador, debido a la vulnerabilidad, la aplicación y, por lo tanto, el tráfico cifrado entre un usuario y la puerta de enlace VPN pueden ser desconectados por un actor malicioso. Esto podría conducir a la divulgación de la dirección IP del usuario.

Apreciamos enormemente el papel vital de los investigadores de ciberseguridad en la identificación y el tratamiento de fallas de seguridad en los sistemas, lo que ayuda a protegerse contra posibles ataques cibernéticos, y les agradecemos por llamar nuestra atención sobre esta vulnerabilidad. Implementaremos más controles de seguridad en el proceso de desarrollo para evitar tales vulnerabilidades en el futuro. Si alguien se encuentra con cualquier otra amenaza potencial relacionada con nuestro servicio, póngase en contacto con nosotros a través de security@Atlas No tienes permitido ver los links. Registrarse o Entrar a mi cuenta." - Atlas VPN.

Dada la naturaleza crítica de esta vulnerabilidad de día cero, que sigue siendo explotable hasta que se lance un parche, se recomienda encarecidamente a los usuarios de clientes Linux que tomen precauciones inmediatas, incluida la consideración de una solución VPN alternativa.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta