¡Atención usuarios de Atlas VPN! Una grave falla de día cero afecta al cliente Atlas VPN Linux, poniendo en riesgo los sistemas. Aunque se ha informado del error, los proveedores de VPN aún no han solucionado el problema, lo que garantiza la solución en una próxima versión. Hasta que llegue el parche, los usuarios de VPN, especialmente los usuarios de Linux, deben evitar el uso del software para mantenerse seguros.
Atlas VPN Zero-Day espera una solución
Recientemente, un usuario anónimo causó sensación en Internet al abandonar abruptamente una VPN Atlas de día cero en Reddit. El usuario con el alias «Educational-Map-8145» (cuenta ahora suspendida) publicó el exploit PoC en Reddit después de sentirse decepcionado por la respuesta del soporte del servicio.
Como se explica en el artículo, el cliente Atlas VPN Linux consta de dos componentes: atlasvpnd, un demonio que gestiona las conexiones, y atlasvpn, el cliente. El cartel reveló que el cliente VPN no estaba utilizando ningún método seguro para conectarse. En cambio, «abre una API en localhost en el puerto 8076», que carecía de autenticación. Aquí es donde existía el problema, ya que cualquiera podía acceder al punto final API abierto sin autenticación y desconectar abruptamente las conexiones VPN activas.
Este puerto es accesible para TODOS los programas que se ejecutan en la computadora, incluido el navegador. Por lo tanto, un javascript malicioso en CUALQUIER sitio web puede crear una solicitud en este puerto y desconectar la VPN. Si luego ejecuta otra solicitud, la dirección IP personal del usuario se filtrará a CUALQUIER sitio web utilizando el código de explotación.
La publicación también incluye un código de explotación que, aunque no está destinado a un uso malicioso, pone en riesgo a los usuarios de Atlas VPN.
Después de este artículo, el ingeniero de ciberseguridad de Amazon, Chris Partridge, también demostró el exploit en el siguiente vídeo. También demostró que PoC evitó el intercambio de recursos entre orígenes (CORS) existente en los navegadores web porque las solicitudes de envíos de formularios suplantados (exentos de CORS) para llegar a la API de Atlas VPN.
https://files.cybersecurity.theater/media_attachments/files/110/997/645/673/129/634/original/233e70179e3c9f90.mp4
Aunque el autor del cartel no esperaba una respuesta a su publicación (como lo demuestran sus comentarios), el jefe del departamento de TI de Atlas VPN respondió de inmediato. Según el comentario del gerente, el proveedor de VPN se ha comprometido a solucionar el problema lanzando una actualización para el cliente Atlas VPN Linux con la solución. Además, el directivo también se disculpó por la débil respuesta de apoyo que enfrentó el cartel, asegurando también improvisar este proceso.
Aunque Atlas VPN prometió la solución, los clientes Linux existentes son vulnerables. Por lo tanto, los clientes de Atlas VPN deben evitar usarlo en sus dispositivos Linux hasta que llegue el parche.
Háganos saber su opinión en los comentarios.