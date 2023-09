Una vulnerabilità critica di u ghjornu zero hè stata scuperta in u cliente Linux di u popular serviziu di rete privata virtuale (VPN), Atlas VPN. U difettu, purtatu à a luce da un utilizatore Reddit chjamatu "Educational-Map-8145", affetta l'ultima versione di u cliente (1.0.3) è permette à i siti web maliziusi di disconnect a VPN è espone l'indirizzu IP di l'utilizatore. Stu risicu di sicurità suscite preoccupazioni per a privacy di l'utilizatori è a sicurità generale di u serviziu VPN.

A vulnerabilità hè attribuita à un endpoint API in l'Atlas VPN Linux Client chì ascolta nantu à u localhost à traversu u portu 8076. Questa API ùn manca ogni forma d'autentificazione, facendu vulnerabile à l'esplosione da i prugrammi chì currenu in l'urdinatore di l'utilizatori, cumpresi i navigatori web. Stu difettu permette à qualsiasi situ web di attivà una disconnessione VPN è, dopu, filtra l'indirizzu IP di casa di l'utilizatore.

Affrontendu a gravità di u prublema, Mayuresh Dani, u manager di a ricerca di minacce in Qualys, spiegò chì i VPN sò spessu situati à u perimetru, chì facenu cum'è una porta di rete interna è esterna. In u risultatu, i clienti VPN diventanu un mira attraente per l'attori cattivi esterni è interni, aumentendu a superficia di attaccu.

L'esperti in securità cunsiglianu à l'utilizatori di Atlas VPN per esse prudenti mentre naviganu in u web finu à chì un patch o una soluzione hè furnita per affruntà sta vulnerabilità critica. U codice di sfruttamentu spartutu da u ricercatore dimostra u risicu potenziale, mette in risaltu a necessità di azzione immediata.

Shawn Surber, Senior Director of Technical Account Management in Tanium, hà dettu chì a vulnerabilità ignora a prutezzione Cross-Origin Resource Sharing (CORS) utilizendu un cumandamentu simplice. Stu cumandamentu spegne in modu efficace a VPN, espunendu l'indirizzu IP di l'utilizatore è u locu generale.

Malgradu i tentativi di Educational-Map-8145 per cuntattà u supportu di Atlas VPN per a divulgazione rispunsevule o l'infurmazioni nantu à un prugramma di bundanza di bug, nisuna risposta hè stata ricevuta. Infosecurity hà ghjuntu à Atlas VPN per una dichjarazione ufficiale in quantu à a preoccupazione di sicurità, ma ùn hà ancu ricevutu una risposta à u mumentu di a scrittura.

In vista di stu difettu criticu, hè cruciale per l'utilizatori di VPN per esse vigilanti è stà cunsciente di i risichi potenziali finu à chì una correzione hè implementata.

