Usuario del cliente Linux AtlasVPN Puede correr el riesgo de sufrir una fuga de datos, al menos temporalmente. Los expertos han confirmado que Atlas VPN tiene una vulnerabilidad de día cero que afecta a los clientes de Linux, que puede revelar la dirección IP del usuario a través de las visitas al sitio web.
Un usuario de Reddit llamado «Educational-Map-8145» publicó la semana pasada un exploit de prueba de concepto dirigido a una vulnerabilidad de día cero en el cliente Atlas VPN Linux. Este código de explotación funciona con la última versión del cliente 1.0.3.
Según los investigadores, el cliente Linux de Atlas VPN, específicamente la última versión (1.0.3), tiene un punto final API que escucha la máquina local (127.0.0.1) a través del puerto 8076.La API proporciona una interfaz de línea de comandos (CLI) para realizar diversas operaciones, como interrumpir una sesión de VPN mediante una URL.
El problema con esta configuración es que esta API no realiza ninguna autenticación, lo que permite que cualquiera emita comandos a la CLI, incluso el sitio web que visita.
Días después, el martes, el jefe del departamento de TI de Atlas VPN publicó un reconocimiento de la falla en Reddit, disculpándose por la demora en la respuesta y señalando que el personal de TI de la compañía estaba trabajando para solucionar el problema.
Edvardas Garbenis, investigador de ciberseguridad y editor de Atlas VPN, confirmó la noticia.
«Somos conscientes de una vulnerabilidad de seguridad que afecta a nuestros clientes Linux. Nos tomamos muy en serio la seguridad y la privacidad del usuario. Por lo tanto, estamos trabajando activamente para solucionarlo lo más rápido posible», dijo Garbenis a LinuxInsider. «Una vez resuelto, se pedirá a nuestros usuarios que actualicen sus aplicaciones de Linux a la última versión».
Garbenis no proporcionó un calendario para resolver la vulnerabilidad. Sin embargo, confirmó que el problema se limita a los clientes de Linux y no afectará a otras aplicaciones de Atlas VPN.
Tabla de Contenidos
Detalles revelados
Una publicación de Reddit indica que la vulnerabilidad afecta a la versión 1.0.3 del cliente Atlas VPN Linux. Como resultado, los actores malintencionados pueden desconectar el tráfico cifrado entre las aplicaciones de Linux y los usuarios de Linux y la puerta de enlace VPN, lo que podría revelar la dirección IP del usuario.
Los investigadores de Reddit dijeron en la publicación que no conocían su uso en la naturaleza. Sin embargo, el cartel también cuestionó la confiabilidad y seguridad de Atlas VPN.
Según el cartel de Reddit, la causa raíz de la vulnerabilidad consta de dos partes. El demonio (atlasvpnd) administra las conexiones y el cliente (atlasvpn) proporciona control al usuario para conectar, desconectar y enumerar servicios.
En lugar de utilizar un socket nativo u otro método seguro para conectarse, la aplicación Linux abre la API localmente en el puerto 8076 sin ninguna autenticación. Este puerto puede ser utilizado por cualquier programa que se ejecute en su computadora, incluido un navegador web. JavaScript malicioso en cualquier sitio web puede realizar una solicitud a este puerto e interrumpir la VPN.
«Si luego ejecuta otra solicitud, filtrará la dirección IP particular del usuario a cualquier sitio web que utilice el código vulnerable», decía el cartel de Reddit.
Los defectos pueden no ser tan únicos
Dependiendo de la configuración de la infraestructura, las VPN suelen estar ubicadas en el perímetro, lo que permite el acceso a redes internas y externas.Además, las soluciones de seguridad en línea confían en el tráfico entrante y saliente, señala Mayuresh Dani, gerente de investigación de amenazas de la firma de TI, seguridad y cumplimiento. cualis.
«Los clientes Endpoint VPN están presentes en todos los dispositivos hoy en día, lo que aumenta la superficie de ataque. Este posicionamiento hace que las VPN sean un objetivo atractivo para los actores de amenazas externos e internos», dijo a LinuxInsider.
Dado el entorno de trabajo híbrido actual, una VPN comprometida puede provocar la pérdida de información personal confidencial. También permite a atacantes externos acceder a redes internas, añadió.
La popularidad de las VPN conduce a violaciones de seguridad
El mercado de proveedores de VPN está ahora saturado y es competitivo. Alrededor del 33% de los usuarios de Internet confían en las VPN para enmascarar su identidad o redirigir su origen.
«Es un mercado enorme, pero hay muchos actores. Es difícil diferenciar a los proveedores por cualquier otro factor que no sea el costo. Cuando el costo por usuario es muy bajo, puede llevar a que el software se apresure a intentar capturar el mercado » Shawn Surber, director senior de gestión técnica de cuentas en Converged Endpoint Management Aleación de titaniorecomendado a LinuxInsider.
La vulnerabilidad puede deberse a la protección CORS (Cross-Origin Resource Sharing), que se supone que bloquea la vulnerabilidad. Sin embargo, los ingenieros diseñaron esta característica de seguridad para evitar el robo de datos y la carga de recursos externos, no para abordar las vulnerabilidades relacionadas.
Explicó que en el escenario Atlas VPN, el ataque utilizó comandos simples para eludir la prueba CORS. En este caso, apaga la VPN, exponiendo inmediatamente la IP del usuario y su ubicación aproximada.
«Este es un tema muy importante para los usuarios de VPN. Hasta ahora, no parece exponer ningún otro dato ni proporcionar una forma de instalar malware», señaló.
Nuevas herramientas de ciberataque
Para los actores malintencionados, cualquier información es buena información. Nick Rago, director de tecnología de campo de API Security, dijo que los adversarios experimentados sabrán cómo utilizar esta información en su beneficio en una campaña de ataque. seguro para la sal.
La ingeniería social jugó un papel en la primera ola de ciberataques. Al hablar de los peligros potenciales de la vulnerabilidad Atlas VPN Linux, dijo que deshabilitar la VPN del usuario objetivo y exponer su IP y ubicación geográfica permite a los malos actores usar esta información para lanzar redes más convincentes y efectivas contra el usuario objetivo, ataques de phishing.
«La protección adecuada de los terminales es clave para que el equipo de seguridad de una organización pueda descubrir si existen interfaces, como API abiertas y no expuestas, en los sistemas de sus empleados y, si se permite que existan, bloquear cualquier uso de esa interfaz en un entorno seguro. De maneras inesperadas», dijo a LinuxInsider.
Recordatorio de seguridad de la red VPN
La vulnerabilidad recientemente descubierta en la versión 1.0.3 del cliente Linux de Atlas VPN es un claro recordatorio de los riesgos potenciales asociados con los servicios VPN, incluso si están diseñados para mejorar la seguridad y la privacidad.
Si bien Atlas VPN está trabajando activamente para resolver este problema, los usuarios deben permanecer atentos y actualizar los parches de software de manera oportuna.
Este caso también resalta la urgente necesidad de medidas de seguridad estrictas, incluida una protección adecuada de los terminales, para los servicios VPN y los consumidores que dependen de ellos.
Dado el panorama cada vez más complejo de la ciberseguridad actual, cada eslabón débil de la cadena de seguridad puede tener consecuencias importantes.