Uma vulnerabilidade zero-day da Atlas VPN que afeta o cliente Linux vaza o endereço IP real de um usuário simplesmente ao visitar um site.
A Atlas VPN é um produto VPN que oferece uma solução de custo eficaz baseada em WireGuard e suporta todos os sistemas operacionais maiores.
Em uma prova de conceito de exploração compartilhada no Reddit, um pesquisador descreve como o cliente Linux da Atlas VPN, especificamente a última versão, 1.0.3, tem um endpoint de API que escuta no localhost (127[.]0[.]0[.]1) pela porta 8076.
Este API oferece um interface de linha de comando (CLI) para realizar várias ações, como desconectar uma sessão VPN usando a URL http://127[.]0[.]0[.]1:8076/connection/stop
No entanto, esta API não realiza nenhuma autenticação, permitindo a qualquer pessoa emitir comandos para o CLI, mesmo um site que você está visitando.
Um usuário do Reddit chamado 'Educational-Map-8145' publicou uma exploração PoC no Reddit que abusa da API Linux da Atlas VPN para revelar os endereços IP reais de um usuário.
Esse PoC cria um formulário oculto que é automaticamente submetido por JavaScript para se conectar à URL endpoint API http://127[.]0[.]0[.]1:8076/connection/stop.
Quando esse endpoint de API é acessado, ele encerra automaticamente qualquer sessão ativa da Atlas VPN que oculte o endereço IP de um usuário.
Depois que a conexão VPN é desconectada, o PoC se conectará à URL api.ipify[.]org para registrar o endereço IP real do visitante.
Isso é uma grave violação de privacidade para qualquer usuário de VPN, pois expõe sua localização física aproximada e o endereço IP real, permitindo que sejam rastreados e anulando um dos principais motivos para usar um provedor de VPN.
O engenheiro de cibersegurança da Amazon, Chris Partridge, testou e confirmou a exploração, criando o vídeo abaixo para demonstrar que ela pode ser aproveitada para revelar um endereço IP.
Partridge explicou ainda que o PoC burla as proteções existentes do CORS (Compartilhamento de Recursos de Origem Cruzada) nos navegadores da web porque as solicitações são enviadas para a API da Atlas VPN como submissões de formulário.
"Submissões de formulário são isentas de CORS por razões de legado/compatibilidade, são consideradas um 'pedido simples' pela especificação CORS", disse Partridge ao BleepingComputer.
Normalmente, o CORS bloquearia solicitações feitas por scripts em páginas da web para domínios diferentes do domínio de origem.
No caso desta exploração, seriam solicitações feitas por qualquer site para o localhost de um visitante em "http://127[.]0[.]0[.]1:8076/connection/stop."
No entanto, Partridge explicou ao BleepingComputer que o uso de uma submissão de formulário para "burlar" o CORS não permitiria a um site ver qualquer resposta da submissão de formulário.
No entanto, neste caso, a resposta não é necessária, pois a submissão do formulário é simplesmente usada para acessar a URL para desconectar a conexão Atlas VPN em Linux.
"A suposição é que os formulários devem já proteger contra CSRF.
O que como podemos ver hoje, não é uma suposição boa e levou a algumas consequências não intencionais", alertou Partridge.
O usuário do Reddit afirma que entrou em contato com a Atlas VPN sobre o problema, mas foi ignorado e, como a empresa não tinha um programa de recompensas por falhas, a divulgação pública era a única opção lógica restante.
A Atlas VPN finalmente respondeu ao problema quatro dias após a divulgação, pedindo desculpas ao repórter e prometendo lançar uma correção para seu cliente Linux o mais rápido possível.
Além disso, os usuários do Linux serão notificados quando a atualização estiver disponível.
Em resposta ao nosso pedido de comentário, um porta-voz da Atlas VPN enviou o seguinte:
Dada a natureza crítica desta vulnerabilidade de zero dia, que permanece explorável até que um patch seja lançado, os usuários do cliente Linux da Atlas VPN são fortemente aconselhados a tomar precauções imediatas, incluindo considerar uma solução VPN alternativa.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...