Una grave vulnerabilità zero-day è stata scoperta nel client Linux di Atlas VPN, una soluzione VPN economica basata su WireGuard che supporta tutti i principali sistemi operativi. Questa vulnerabilità permette di rivelare l’indirizzo IP reale dell’utente semplicemente visitando un sito web. Vediamo insieme i dettagli di questa scoperta e le misure che Atlas VPN sta adottando per risolvere il problema.
La vulnerabilità nel dettaglio
Un utente di Reddit con il nome ‘Educational-Map-8145’ ha pubblicato una prova di concetto (PoC) che sfrutta l’API di Atlas VPN su Linux per rivelare gli indirizzi IP reali degli utenti. Questa API, che ascolta su localhost (127.0.0.1) sulla porta 8076, offre una interfaccia a riga di comando (CLI) per eseguire varie azioni, come disconnettere una sessione VPN utilizzando l’URL http://127.0.0.1:8076/connection/stop. Tuttavia, questa API non esegue alcuna autenticazione, permettendo a chiunque di impartire comandi alla CLI, incluso un sito web che si sta visitando.
La PoC crea un modulo nascosto che viene inviato automaticamente tramite JavaScript per connettersi all’URL dell’endpoint API sopra menzionato. Quando si accede a questo endpoint, termina automaticamente qualsiasi sessione VPN attiva di Atlas che nasconde l’indirizzo IP dell’utente. Una volta disconnessa la connessione VPN, la PoC si connette all’URL api.ipify.org per registrare l’indirizzo IP reale del visitatore. Questo rappresenta una grave violazione della privacy per qualsiasi utente VPN, in quanto espone la loro posizione fisica approssimativa e il loro vero indirizzo IP, permettendo di tracciarli e annullando uno dei motivi principali per utilizzare un provider VPN.
La risposta di Atlas VPN
Dopo essere stato inizialmente ignorato, il reporter ha ricevuto una risposta da Atlas VPN quattro giorni dopo la divulgazione. La società ha presentato le sue scuse e ha promesso di rilasciare una correzione per il suo client Linux il prima possibile. Inoltre, gli utenti Linux saranno avvisati quando l’aggiornamento sarà disponibile. Un portavoce di Atlas VPN ha dichiarato: “Siamo consapevoli della vulnerabilità di sicurezza che colpisce il nostro client Linux. Prendiamo molto sul serio la sicurezza e la privacy degli utenti. Pertanto, stiamo lavorando attivamente per risolverlo il prima possibile. Una volta risolto, i nostri utenti riceveranno un invito a aggiornare la loro app Linux all’ultima versione”.
Data la natura critica di questa vulnerabilità zero-day, che rimane sfruttabile fino al rilascio di una patch, si consiglia vivamente agli utenti del client Linux di prendere precauzioni immediate, incluso considerare una soluzione VPN alternativa.