Biztonságban hiszed magad? Tévedsz...

Linux kliens felhasználóit Az Atlas VPN – legalábbis átmenetileg – az adatszivárgás veszélye fenyegeti. A szakértők megerősítették az Atlas VPN nulladik napi hibáját, amely hatással van a Linux kliensre, amely felfedheti a felhasználó IP-címét egy webhely meglátogatásával.

Az „Educational-Map-8145” névvel rendelkező Reddit-felhasználó a múlt héten tett közzé egy koncepciópróbát az Atlas VPN Linux kliensének nulladik napi hibája miatt. A kihasználó kód a kliens legújabb, 1.0.3-as verziójával működik.

A kutató szerint az Atlas VPN Linux kliensének, különösen a legújabb verziónak (1.0.3) van egy API-végpontja, amely a localhost (127.0.0.1) 8076-os porton keresztül figyel. Ez az API parancssori felületet (CLI) kínál. különféle műveletek végrehajtásához, például VPN-munkamenet leválasztásához a http://127.0.0.1:8076/connection/stop URL használatával.

Ezzel a konfigurációval az a probléma, hogy ez az API nem végez semmilyen hitelesítést, ami lehetővé teszi bárki számára, hogy parancsokat adjon ki a CLI-nek, még a meglátogatott webhelyeknek is.

Az Atlas VPN informatikai részlegének vezetője néhány nappal később a Redditben elismerte a hibát, elnézést kérve a késedelmes válaszadásért, és megjegyezve, hogy a cég informatikai munkatársai javítják a problémát.

Edvardas Garbenis, az Atlas VPN kiberbiztonsági kutatója és kiadója megerősítette ezt az információt.

„Tisztában vagyunk a Linux kliensünket érintő biztonsági réssel. Nagyon komolyan vesszük a biztonságot és a felhasználói adatvédelmet. Ezért aktívan dolgozunk azon, hogy a lehető leghamarabb kijavítsuk” - mondta Garbenis - "A megoldást követően a felhasználók felszólítást kapnak, hogy frissítsék Linux-alkalmazásukat a legújabb verzióra."

A Garbenis nem adott határidőt a sérülékenység feloldására. Megerősítette azonban, hogy a probléma a Linux kliensre korlátozódik, és nem érinti a többi Atlas VPN-alkalmazást.

Részletek a hibáról

A Reddit bejegyzés jelezte, hogy a biztonsági rés az Atlas VPN Linux kliens 1.0.3-as verzióját érinti. Ennek eredményeként egy rosszindulatú szereplő leválaszthatja a Linux-alkalmazást és a titkosított forgalmat a Linux-felhasználó és a VPN-átjáró között, így felfedheti a felhasználó IP-címét.

A Reddit kiberkutatója a bejegyzésben elmondta, hogy még nincsenek tisztában a "vadonban" való felhasználásával. A hiba azonban megkérdőjelezte az Atlas VPN megbízhatóságát és biztonságát is.

A sebezhetőség kiváltó oka a Reddit véleménye szerint két részből áll. Egy démon (atlasvpnd) kezeli a kapcsolatokat, egy kliens (atlasvpn) pedig felhasználói vezérlőket biztosít a csatlakozáshoz, a leválasztáshoz és a szolgáltatások listázásához.

Ahelyett, hogy helyi aljzattal vagy más biztonságos csatlakozási lehetőséggel rendelkezne, a Linux-alkalmazás minden hitelesítés nélkül megnyit egy API-t a localhost 8076-os portján. Az elérő számítógépen futó bármely program – beleértve a webböngészőt is – használhatja ezt a portot. A rosszindulatú JavaScript bármely webhelyen kérést küldhet az adott portra, és leválaszthatja a VPN-t.

A Reddit véleménye szerint "Ha ezután egy másik kérést futtat, akkor ez a felhasználó otthoni IP-címét BÁRMELYIK webhelyre szivárogtatja ki a kihasználó kód használatával."

Hiba Talán nem annyira egyedi

Az infrastruktúra beállításától függően gyakran egy VPN található a peremen, lehetővé téve a belső és külső hálózatokhoz való hozzáférést. A beépített biztonsági megoldások emellett bíznak a bejövő és kimenő forgalomban is – jegyezte meg Mayuresh Dani, a Qualys IT, biztonsági és megfelelőségi cég fenyegetéskutatási menedzsere.

„A végponti VPN-kliensek ma minden eszközön jelen vannak, növelve a támadási felületet. Ez a pozicionálás vonzó célponttá teszi a VPN-eket mind a külső, mind a belső fenyegetés szereplői számára” – mondta a LinuxInsidernek.

A mai hibrid munkakörnyezetben a feltört VPN érzékeny személyes adatok elvesztésével járhat. Azt is lehetővé teszi, hogy külső támadók hozzáférjenek a belső hálózatokhoz – tette hozzá.

A VPN népszerűsége biztonsági hibákhoz vezet

A VPN-szolgáltató piaca most zsúfolt és versenyképes. Az összes internetfelhasználó körülbelül 33%-a támaszkodik a VPN-ekre, hogy elrejtse személyazonosságát vagy eltolja a származási helyét.

„Ez egy hatalmas piac, de sok játékossal. Nehéz lehet megkülönböztetni a szolgáltatókat a költségeken kívül. És ha az egy felhasználóra jutó költségek nagyon alacsonyak, ez ahhoz vezethet, hogy a szoftverek rohamosan próbálják megragadni a piacot” – javasolta Shawn Surber, a Tanium konvergens végpontkezelő cég műszaki fiókkezelési igazgatója.

Az a feltételezés, hogy a források közötti erőforrás-megosztás (CORS) védelme megakadályozza ezt, okozhatta a sérülékenységet. A mérnökök azonban úgy tervezték ezt a biztonsági funkciót, hogy megakadályozzák az adatlopást és a külső erőforrások betöltését, nem pedig a szóban forgó sérülékenységet.

Az Atlas VPN forgatókönyvében a támadás egy egyszerű parancsot használ helyette, amely átcsúszik a CORS kesztyűjén – magyarázta. Ebben az esetben kikapcsolja a VPN-t, azonnal felfedve a felhasználó IP-jét és általános tartózkodási helyét.

„Ez elég jelentős probléma a VPN-felhasználók számára. Egyelőre úgy tűnik, hogy nem tesz közzé semmilyen más adatot, és nem biztosít lehetőséget rosszindulatú programok telepítésére” – jegyezte meg.

Eszköz az új kibertámadásokhoz

Minden információ jó információ egy rosszindulatú szereplő számára. Egy tapasztalt ellenfél tudni fogja, hogyan használja fel ezeket az információkat a maga javára egy támadási kampányban – ajánlotta Nick Rago, a Salt Security API biztonsági cég műszaki igazgatója .

A social engineering szerepet játszik a kibertámadási kampány első hullámában. A megcélzott felhasználó VPN-jének letiltása, valamint IP-címük és földrajzi helyük felfedése lehetővé teszi, hogy a rossz szereplők kihasználják ezeket az információkat, hogy meggyőzőbb és hatékonyabb adathalász támadást hozzanak létre, amely a megcélzott felhasználóra szabott – mondta az Atlas VPN Linux sebezhetőségének lehetséges veszélyeiről.

„A megfelelő végpontvédelem itt kulcsfontosságú ahhoz, hogy a szervezet biztonsági csapata felfedezhesse, ha az alkalmazotti rendszerein van-e interfész, például nyílt, nem elérhető API, és ha engedélyezik, blokkolja az adott felület használatára irányuló kísérleteket. váratlan módon” – mondta.

VPN kiberbiztonsági emlékeztető

Az Atlas VPN Linux kliensének 1.0.3-as verziójában felfedezett sebezhetőség határozottan emlékeztet a VPN-szolgáltatásokhoz kapcsolódó potenciális kockázatokra, még akkor is, ha a biztonság és az adatvédelem fokozása a cél.

Míg az Atlas VPN aktívan foglalkozik a problémával, a felhasználóknak ébernek kell maradniuk, és naprakésznek kell lenniük a szoftverjavításokkal.

Ez az eset azt is aláhúzza, hogy a VPN-szolgáltatások és a rájuk támaszkodó fogyasztók szigorú biztonsági intézkedésekre – ideértve a megfelelő végpontvédelmet is – elengedhetetlenül szükségesek.

Napjaink egyre összetettebb kiberbiztonsági környezetében a biztonsági lánc minden gyenge láncszeme jelentős következményekkel járhat.

Hozzászólások

Ezt a részt nem értem

Értékelés: 

0
Még nincs értékelve

"Ha ezután egy másik kérést futtat, akkor ez a felhasználó otthoni IP-címét BÁRMELYIK webhelyre szivárogtatja ki a kihasználó kód használatával."

Mármint, ezt alapból bármelyik webhely tudja, hisz az IP cím a kommunikáció alapja, tudnia kell a webhelynek a címet, hogy kommunikálni tudjon a címmel.

OK, el akarok bújni, ne lássa senki a címem. Routert használok, routernek kifele lesz egy fő címe, ami belül mögötte van, minden eszköznek lesz külön másik címe, sok.

Most akkor a helyi gépen VPN klienst használok, mert még jobban el akarok bújni. Kapok egy címet a VPN szervertől. ami biztonságos csőben van, tök jó, kifele nem látszik az IP címem. öö melyik is? Hát a gép belső IP címe, a VPN kliens nem fogja elrejteni a külső WAN címet, mert mi lesz akkor a többi eszközzel.

Nos, mai Internet tunelling módban megy. Hosszú lenne kifejteni, de a lényeg, van egy belső IP címed, a routernek van egy külső WAN IP címe a szolgáltató felé, a szolgáltató meg a nagyvilág felé egy random harmadik címmel biztosítja a kapcsolatot, akár többet is, attól függően, hogy milyen irányú a kommunikáció a hálón.

Most melyik IP cím elrejtése a cél? Csak arra tudok gondolni, hogy az, amelyiket a VPN kliens ad, mert technikailag leginkább azt lehet a kliensnek elrejteni. Ami kb. minden kapcsolatfelvételnél más. Mi történik, ha valaki ezt a címet megtudja? Tudni fogja, hogy milyen VPN-t használ a delikvens? Azt anélkül is lehet tudni kívülről, ki lehet deríteni másképp is. Vagy időponthoz kötve jelentősége van? Értelmet csak az adhat ennek, ha nem csak az IP címet tudják, hanem a forgalmat is ismerik, ami akkor folyt. Akkor már nem mindegy?

 

Ezt a részt nem értem

Értékelés: 

0
Még nincs értékelve

#1 Én ehhez egyáltalán nem értek, de remélem, hogy jól gondolom.
A cél a külső IP cím elrejtése, az adott oldallal történő kommunikáció során.
Nem a 20 megnyitott weblap esetén, csak amelyiknél be van kapcsolva a VPN.
És nem mindenki IP címét rejti el, aki a router mögött van, csak azét, aki VPN-t használ.
Amúgy nem is annyira az IP cím elrejtése a cél, hacsak nem terrorista vagyok, hanem a küldött, és fogadott adatok titkosítása.
Tőlem bárki láthatja, hogy most a bankommal kommunikálok, ha nem tud beleolvasni, vagy beleírni a kommunikációba.
A belső IP-cím, a 192.168.x.x kit érdekel?

Amúgy a https://www.whatismyip.com/ is csak a külső címemet látja, és ezeket az adatokat:

My Public IPv4:
5.187.xxx.xx

My Public IPv6:
2001:4c4e:1121:d700:b1:9f7d:xxxx:xxxx

My IP Location:
Kisber, KE HU

My ISP:
Magyar Telekom

Miután bekapcsolom a VPN-t, ezeket látja:

My Public IPv4:
104.28.250.104

My Public IPv6:
2a09:bac5:39c2:1c46::2d1:40

My IP Location:
Budapest, BU HU

My ISP:
CloudFlare Inc.
 

Figyelem! Reklám következik.

Értékelés: 

0
Még nincs értékelve

#2 ingyen is lehet, és akkor megmarad a cigi ára.

Figyelem! Reklám következik.

Értékelés: 

0
Még nincs értékelve

#2.1
Tudom, én az Edge böngészőt használom, abban is van. De azt hiszem csak 1 GB/hó forgalomig ingyenes.