کاربران سرویس گیرنده لینوکس اطلس وی پی ان ممکن است حداقل به طور موقت در معرض خطر نشت داده باشند. کارشناسان یک نقص روز صفر اطلس وی پی ان را تأیید کردند که بر مشتری لینوکس تأثیر می گذارد و می تواند آدرس IP کاربر را با بازدید از یک وب سایت آشکار کند.

یک کاربر رد ایت با دسته «Educational-Map-8145» هفته گذشته یک سوء استفاده اثبات مفهومی را برای نقص روز صفر در کلاینت لینوکس اطلس وی پی ان منتشر کرد. کد اکسپلویت بر خلاف آخرین نسخه کلاینت، 1.0.3 کار می کند.

به گفته محقق، سرویس گیرنده لینوکس اطلس وی پی ان، به ویژه آخرین نسخه (1.0.3)، دارای یک نقطه پایانی API است که در لوکال هاست (127.0.0.1) از طریق پورت 8076 گوش می دهد. این API یک رابط خط فرمان (CLI) ارائه می دهد. برای انجام اقدامات مختلف، مانند قطع اتصال یک جلسه VPN با استفاده از URL http://127.0.0.1:8076/connection/stop.

مشکل این پیکربندی این است که این API هیچ گونه احراز هویتی را انجام نمی دهد، که به هر کسی اجازه می دهد تا دستوراتی را به CLI صادر کند، حتی وب سایتی که بازدید می کنید.

رئیس بخش فناوری اطلاعات اطلس وی پی ان در روز سه‌شنبه، چند روز بعد، در رد ایت تصدیق این نقص را منتشر کرد و بابت تأخیر در پاسخ‌گویی عذرخواهی کرد و خاطرنشان کرد که کارکنان فناوری اطلاعات شرکت در حال رفع مشکل هستند.

ادوارداس گاربنیس، محقق و ناشر امنیت سایبری در اطلس وی پی ان، این اطلاعات را تایید کرد.

«ما از آسیب‌پذیری امنیتی که مشتری لینوکس ما را تحت تأثیر قرار می‌دهد آگاه هستیم. ما امنیت و حریم خصوصی کاربر را بسیار جدی می گیریم. بنابراین، ما فعالانه در حال کار بر روی رفع آن در اسرع وقت هستیم.» گاربنیس به لینوکس اینسایدر گفت. پس از رفع مشکل، کاربران ما درخواستی برای به روز رسانی برنامه لینوکس خود به آخرین نسخه دریافت خواهند کرد.

گاربنیس جدول زمانی برای رفع این آسیب پذیری ارائه نکرده است. با این حال، او تأیید کرد که این مشکل به کلاینت لینوکس محدود می شود و دیگر برنامه های اطلس وی پی ان را تحت تأثیر قرار نمی دهد.

جزئیات فاش شد

پست رد ایت نشان داد که این آسیب‌پذیری روی کلاینت لینوکس اطلس نسخه 1.0.3 تأثیر می‌گذارد. در نتیجه، یک عامل مخرب می تواند برنامه لینوکس و ترافیک رمزگذاری شده بین یک کاربر لینوکس و دروازه وی پی ان را قطع کند و به طور بالقوه آدرس آی پی کاربر را فاش کند.

محقق سایبری رد ایت در این پست گفت که آنها هنوز از کاربرد آن در طبیعت آگاه نیستند. با این حال، پوستر قابلیت اطمینان و امنیت اطلس وی پی ان را نیز زیر سوال برد.

بر اساس پوستر رد ایت ، علت اصلی آسیب‌پذیری شامل دو بخش است. یک شبح اتصالات را مدیریت می‌کند و یک کلاینت، کنترل‌های کاربر را برای اتصال، قطع و فهرست کردن خدمات فراهم می‌کند.

برنامه لینوکس به جای داشتن یک سوکت محلی یا سایر ابزارهای امن برای اتصال، یک اِی پی آی را در لوکال هاست در پورت 8076 بدون هیچ گونه احراز هویتی باز می کند. هر برنامه ای که بر روی رایانه دسترسی دارد – از جمله مرورگر وب – می تواند از این پورت استفاده کند. یک جاوا اسکریپت مخرب در هر وب سایتی می تواند درخواستی برای آن پورت ایجاد کند و VPN را قطع کند.

بر اساس پوستر رد ایت ، «اگر درخواست دیگری را اجرا کند، آدرس آی پی خانه کاربر را با استفاده از کد بهره‌برداری به هر وب‌سایتی لو می‌دهد».
نقص شاید خیلی منحصر به فرد نباشد.

بسته به راه اندازی زیرساخت، اغلب یک وی پی ان در محیط قرار می گیرد و اجازه دسترسی به شبکه های داخلی و خارجی را می دهد. مایورش دانی، مدیر تحقیقات تهدید در شرکت فناوری اطلاعات، امنیت و انطباق کوالیس خاطرنشان کرد، همچنین راه‌حل‌های امنیتی که درون خط هستند به ترافیک ورودی و خروجی اعتماد دارند.

مشتری های نقطه پایانی وی پی ان  امروز در همه دستگاه ها حضور دارند و سطح حمله را افزایش می دهند. این موقعیت‌یابی وی پی ان ها را به یک هدف جذاب برای عوامل تهدید خارجی و داخلی تبدیل می‌کند.» او به لینکوس اینسایدر گفت: با توجه به محیط کاری ترکیبی امروزی، یک وی پی ان به خطر افتاده می تواند منجر به از دست دادن اطلاعات شخصی حساس شود. وی افزود، این همچنین به مهاجمان خارجی امکان دسترسی به شبکه های داخلی را می دهد.
محبوبیت وی پی ان منجر به لغزش های امنیتی می شود.

بازار ارائه دهنده VPN اکنون شلوغ و رقابتی است. حدود 33٪ از همه کاربران اینترنت برای پنهان کردن هویت خود یا تغییر مکان مبدا به وی پی ان ها متکی هستند.

“این یک بازار بزرگ است، اما با بازیکنان زیادی. تمایز ارائه دهندگان بر اساس هر چیزی غیر از هزینه می تواند دشوار باشد. و زمانی که هزینه‌های هر کاربر بسیار کم است، می‌تواند منجر به تلاش نرم‌افزاری عجولانه برای تصاحب بازار شود.

این فرض که حفاظت از منبع اشتراک منابع متقابل (CORS) از آن جلوگیری می کند، ممکن است باعث آسیب پذیری شود. با این حال، مهندسان این ویژگی امنیتی را برای جلوگیری از سرقت داده ها و بارگذاری منابع خارجی طراحی کردند، نه برای رفع آسیب پذیری مورد نظر.

او توضیح داد که در سناریوی اطلس، حمله به جای آن از یک فرمان ساده استفاده می کند که از طریق دستکش CORS می گذرد. در این حالت، وی پی ان را خاموش می کند و بلافاصله آی پی  و مکان عمومی کاربر را فاش می کند.

“این یک مشکل بسیار مهم برای کاربران وی پی ان است. هنوز به نظر نمی رسد که داده های دیگری را افشا کند یا راهی برای نصب بدافزار فراهم کند.»
ابزاری برای حملات سایبری جدید

هر اطلاعاتی برای یک بازیگر مخرب اطلاعات خوبی است. نیک راگو، مدیر ارشد فناوری در شرکت امنیت API Salt Security، پیشنهاد کرد که یک دشمن باتجربه می داند که چگونه از این اطلاعات به نفع خود در یک کمپین حمله استفاده کند.

مهندسی اجتماعی در اولین موج کمپین حملات سایبری نقش دارد. او در مورد خطر بالقوه آسیب پذیری نسخه لینوکس این برنامه  گفت که غیرفعال کردن وی پی ان یک کاربر هدف و افشای آی پی و موقعیت جغرافیایی آنها به بازیگران بد اجازه می دهد از این اطلاعات برای ایجاد یک حمله فیشینگ متقاعد کننده تر و مؤثرتر متناسب با کاربر هدف استفاده کنند.

وی در ادامه گفت : «حفاظت مناسب نقطه پایانی در اینجا کلیدی است تا تیم امنیتی یک سازمان بتواند کشف کند که آیا هر رابطی، مانند یک API باز و غیرقابل نمایش، در سیستم‌های کارمندشان وجود دارد یا خیر، و اگر اجازه وجود داشته باشد، هرگونه تلاش برای استفاده از آن رابط را در یک سیستم مسدود کند. به شیوه ای غیرمنتظره،”

یادآوری امنیت سایبری VPN

آسیب پذیری اخیر کشف شده در نسخه 1.0.3 کلاینت اطلس وی پی ان  یادآور خطرات احتمالی مرتبط با سرویس های وی پی ان ها است، حتی اگر هدف آنها افزایش امنیت و حفظ حریم خصوصی باشد.

در حالی که اطلس وی پی ان به طور فعال به این مشکل رسیدگی می کند، کاربران باید هوشیار باشند و با وصله های نرم افزاری به روز شوند.

این مورد همچنین بر نیاز حیاتی به اقدامات امنیتی دقیق، از جمله حفاظت از نقطه پایانی مناسب، توسط سرویس‌های وی پی انو مصرف‌کنندگانی که به آنها متکی هستند، تأکید می‌کند.

با توجه به چشم انداز پیچیده امنیت سایبری امروزی، هر حلقه ضعیف در زنجیره امنیتی می تواند عواقب قابل توجهی داشته باشد.