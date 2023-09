Une vulnérabilité critique de type Zero Day a été découverte dans le client Linux du service de réseau privé virtuel (VPN) populaire, Atlas VPN. La faille, mise en lumière par un utilisateur de Reddit nommé « Educational-Map-8145 », affecte la dernière version du client (1.0.3) et permet à des sites Web malveillants de déconnecter le VPN et d'exposer l'adresse IP de l'utilisateur. Ce risque de sécurité soulève des inquiétudes quant à la confidentialité des utilisateurs et à la sécurité globale du service VPN.

La vulnérabilité est attribuée à un point de terminaison API dans le client Atlas VPN Linux qui écoute sur l'hôte local via le port 8076. Cette API ne dispose d'aucune forme d'authentification, ce qui la rend vulnérable à l'exploitation par des programmes exécutés sur l'ordinateur de l'utilisateur, y compris les navigateurs Web. Cette faille permet à n'importe quel site Web de déclencher une déconnexion VPN et de divulguer ensuite l'adresse IP du domicile de l'utilisateur.

Abordant la gravité du problème, Mayuresh Dani, responsable de la recherche sur les menaces chez Qualys, a expliqué que les VPN sont souvent situés en périphérie, agissant comme une passerelle vers les réseaux internes et externes. En conséquence, les clients VPN deviennent une cible attrayante pour les acteurs malveillants externes et internes, augmentant ainsi la surface d’attaque.

Les experts en sécurité conseillent aux utilisateurs d'Atlas VPN de faire preuve de prudence lorsqu'ils naviguent sur le Web jusqu'à ce qu'un correctif ou une solution soit fourni pour remédier à cette vulnérabilité critique. Le code d'exploitation partagé par le chercheur démontre le risque potentiel, soulignant la nécessité d'une action immédiate.

Shawn Surber, directeur principal de la gestion des comptes techniques chez Tanium, a commenté que la vulnérabilité contourne la protection CORS (Cross-Origin Resource Sharing) en utilisant une simple commande. Cette commande désactive efficacement le VPN, exposant l'adresse IP et l'emplacement général de l'utilisateur.

Malgré les tentatives d'Educational-Map-8145 pour contacter le support d'Atlas VPN pour une divulgation responsable ou des informations sur un programme de prime aux bogues, aucune réponse n'a été reçue. Infosecurity a contacté Atlas VPN pour obtenir une déclaration officielle concernant le problème de sécurité, mais n'a pas non plus reçu de réponse au moment de la rédaction.

À la lumière de cette faille critique, il est crucial que les utilisateurs de VPN restent vigilants et conscients des risques potentiels jusqu'à ce qu'un correctif soit mis en œuvre.

