Bir güvenlik araştırmacısı, Linux için AtlasVPN’e yönelik bir yararlanma kodu yayınladı; bu kod, herkesin bir kullanıcının bağlantısını kesmesine ve kullanıcıyı bir web sitesine yönlendirerek IP adresini açığa çıkarmasına olanak tanıyor.
AtlasVPN, NordVPN’e ait “ücretsiz” bir sanal özel ağ (VPN) hizmetidir. Henüz 4 yaşında olmasına rağmen kendi web sitesine göredünya çapında 6 milyondan fazla kişi tarafından kullanılmaktadır.
1 Eylül’de satıcıdan herhangi bir yanıt alamayınca, kimliği belirsiz bir araştırmacı (Tam Açıklama posta listesi kullanıcı adı “icudar” olarak anılır) AtlasVPN Linux için bir yararlanma kodu yayınladı. Tam Açıklama posta listesi Ve Reddit. Herhangi bir hacker, bu kodu kopyalayıp kendi sitesine yapıştırarak herhangi bir AtlasVPN kullanıcısının özel ağ bağlantısını kesebilir ve bu süreçte IP adresini açığa çıkarabilir.
Tanium’un teknik hesap yönetimi kıdemli müdürü Shawn Surber, “VPN’in tüm amacı bu bilgiyi maskelemek olduğundan, bu kullanıcılar için oldukça önemli bir sorundur” diyor.
AtlasVPN İstismarının Nasıl Çalıştığı
AtlasVPN’in Linux istemcisindeki sorun, uygun kimlik doğrulama eksikliğinden kaynaklanıyor.
“İstemci yerel bir soket veya başka herhangi bir güvenli araçla bağlanmıyor, bunun yerine localhost üzerinde 8076 numaralı bağlantı noktasında bir API açıyor. HİÇBİR kimlik doğrulaması yok,“İcudar internetteki paylaşımlarında şunu yazdı. “Bu bağlantı noktasına, tarayıcı dahil bilgisayarda çalışan HERHANGİ bir program tarafından erişilebilir.”
Surber, “bu güvenlik açığının, Çapraz Kökenli Kaynak Paylaşımı (CORS) korumasının bunu önleyeceği varsayımından kaynaklandığını” tahmin ediyor. CORS, bir alanın diğerinden kaynak isteyebileceği bir mekanizmadır.
Gibi diğer araştırmacıların da belirttiğiAncak bu istismar, işaretlemediği bir tür istek göndererek CORS’u kolayca geçebilir. “CORS, veri hırsızlığını ve dış kaynakların yüklenmesini önlemek için tasarlanmıştır. Bu senaryoda saldırı, basit bir komutCORS eldiveninden kaçıyor ve bu durumda VPN’yi kapatarak kullanıcının IP’sini ve dolayısıyla genel konumunu anında açığa çıkarıyor,” diye açıklıyor Surber.
Bu, VPN Kullanıcıları İçin Ne İfade Ediyor?
Güvenlik açığının boyutunu test etmek için icudar, 8076 numaralı bağlantı noktasını talep edecek ve VPN bağlantısını başarıyla kesecek, ardından kullanıcının IP adresini sızdırmayı talep edecek kötü amaçlı bir JavaScript yazdı.
“Bu, AtlasVPN’in onların haklarını almadığını gösteriyor [users’] güvenlik ciddi, çünkü yazılım güvenliği kararları o kadar berbat ki [it’s] Bunun bir arka kapıdan ziyade bir hata olduğuna inanmak zor” diye yazdılar.
AtlusVPN’in güvenlik açığının doğada istismar edildiğine dair henüz bir kanıt yok. Reddit aracılığıyla yanıt veren AtlusVPN’in BT departmanı başkanı, şirketin sorunu çözdüğünü, tüm Linux istemci kullanıcılarını bilgilendireceğini ve “mümkün olan en kısa sürede” bir yama yayınlayacağını yazdı.
Dark Reading’e yapılan yazılı açıklamada AtlusVPN, yaması için kesin bir zaman çizelgesi sağlayamadı ancak “güvenlik açığını mümkün olan en kısa sürede düzeltmek için aktif olarak çalıştığımızın” garantisini verdi.