È stata scoperta una vulnerabilità critica zero-day nel client Linux del popolare servizio di rete privata virtuale (VPN), Atlas VPN. Il difetto, portato alla luce da un utente Reddit denominato "Educational-Map-8145", colpisce l'ultima versione del client (1.0.3) e consente ai siti Web dannosi di disconnettere la VPN ed esporre l'indirizzo IP dell'utente. Questo rischio per la sicurezza solleva preoccupazioni sulla privacy dell’utente e sulla sicurezza generale del servizio VPN.

La vulnerabilità è attribuita a un endpoint API all'interno del client Linux Atlas VPN che è in ascolto sull'host locale tramite la porta 8076. Questa API è priva di qualsiasi forma di autenticazione, rendendola vulnerabile allo sfruttamento da parte di programmi in esecuzione sul computer dell'utente, inclusi i browser web. Questo difetto consente a qualsiasi sito Web di attivare una disconnessione VPN e successivamente di divulgare l'indirizzo IP di casa dell'utente.

Affrontando la gravità del problema, Mayuresh Dani, responsabile della ricerca sulle minacce presso Qualys, ha spiegato che le VPN sono spesso situate sul perimetro, fungendo da gateway per le reti interne ed esterne. Di conseguenza, i client VPN diventano un obiettivo attraente per i malintenzionati sia esterni che interni, aumentando la superficie di attacco.

Gli esperti di sicurezza consigliano agli utenti Atlas VPN di prestare attenzione durante la navigazione sul Web fino a quando non verrà fornita una patch o una soluzione per risolvere questa vulnerabilità critica. Il codice dell'exploit condiviso dal ricercatore dimostra il potenziale rischio, evidenziando la necessità di un'azione immediata.

Shawn Surber, Senior Director of Technical Account Management presso Tanium, ha commentato che la vulnerabilità aggira la protezione CORS (Cross-Origin Resource Sharing) utilizzando un semplice comando. Questo comando disattiva effettivamente la VPN, esponendo l'indirizzo IP e la posizione generale dell'utente.

Nonostante i tentativi da parte di Educational-Map-8145 di contattare il supporto di Atlas VPN per una divulgazione responsabile o informazioni su un programma di bug bounty, non è stata ricevuta alcuna risposta. Infosecurity ha contattato Atlas VPN per una dichiarazione ufficiale riguardante i problemi di sicurezza, ma al momento della stesura di questo articolo non ha ricevuto risposta.

Alla luce di questo difetto critico, è fondamentale che gli utenti VPN rimangano vigili e consapevoli dei potenziali rischi fino all’implementazione di una soluzione.

