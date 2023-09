Eng kritesch Null-Dag Schwachstelle gouf am Linux Client vum populäre virtuelle privaten Netzwierk (VPN) Service, Atlas VPN, entdeckt. De Feeler, dee vun engem Reddit Benotzer mam Numm "Educational-Map-8145" an d'Liicht bruecht gouf, beaflosst déi lescht Versioun vum Client (1.0.3) an erlaabt béiswëlleg Websäiten de VPN ze trennen an d'IP Adress vum Benotzer z'exposéieren. Dëse Sécherheetsrisiko bréngt Bedenken iwwer d'Benotzer Privatsphär an d'allgemeng Sécherheet vum VPN Service.

D'Schwachheet gëtt zu engem API Endpunkt am Atlas VPN Linux Client zougeschriwwen, deen um localhost duerch Port 8076 lauschtert. Dës API fehlt all Form vun Authentifikatioun, sou datt et vulnérabel ass fir Ausbeutung vu Programmer déi um Computer vum Benotzer lafen, och Webbrowser. Dëse Feeler erlaabt all Websäit e VPN-Trennung auszeléisen an duerno d'Heem-IP Adress vum Benotzer ze lecken.

Adresséiert d'Ernst vum Thema, Mayuresh Dani, de Manager vun der Bedrohungsfuerschung bei Qualys, erkläert datt VPNs dacks um Perimeter sinn, déi als Paart fir intern an extern Netzwierker handelen. Als Resultat ginn VPN Clienten en attraktivt Zil fir extern an intern schlecht Akteuren, wat d'Attackfläch erhéicht.

Sécherheetsexperten roden Atlas VPN Benotzer virsiichteg ze maachen beim Surfen um Internet bis e Patch oder Léisung zur Verfügung gestallt gëtt fir dës kritesch Schwachstelle unzegoen. Den Exploitcode, dee vum Fuerscher gedeelt gëtt, weist de potenzielle Risiko, ënnersträicht d'Bedierfnes fir direkt Handlung.

Shawn Surber, Senior Director of Technical Account Management at Tanium, kommentéiert datt d'Vulnerabilitéit Cross-Origin Resource Sharing (CORS) Schutz ëmgeet andeems en einfache Kommando benotzt. Dëse Kommando schalt effektiv de VPN aus, exponéiert d'IP Adress vum Benotzer an d'allgemeng Positioun.

Trotz Versuche vun Educational-Map-8145 fir d'Atlas VPN Ënnerstëtzung ze kontaktéieren fir verantwortlech Verëffentlechung oder Informatioun iwwer e Bug Bounty Programm, gouf keng Äntwert kritt. Infosecurity huet dem Atlas VPN kontaktéiert fir eng offiziell Ausso iwwer d'Sécherheetsbesuergung awer huet och keng Äntwert am Schreiwen kritt.

Am Liicht vun dësem kritesche Feeler ass et entscheedend fir VPN Benotzer waakreg ze bleiwen a bewosst vu potenzielle Risiken ze bleiwen bis eng Fix ëmgesat gëtt.

Quellen:

- Quelltext