Une vulnérabilité Zero Day d’Atlas VPN affectant le client Linux divulgue la véritable adresse IP d’un utilisateur simplement en visitant un site Web.
Atlas VPN est un produit VPN qui offre une solution rentable basée sur WireGuard et prend en charge tous les principaux systèmes d’exploitation.
Dans un exploit de preuve de concept partagé sur Reddit, un chercheur décrit comment le client Linux d’Atlas VPN, en particulier la dernière version, 1.0.3, dispose d’un point de terminaison API qui écoute sur localhost (127.0.0.1) sur le port 8076.
Cette API offre une interface de ligne de commande (CLI) pour effectuer diverses actions, telles que la déconnexion d’une session VPN à l’aide de l’URL http://127.0.0.1:8076/connection/stop.
Cependant, cette API n’effectue aucune authentification, permettant à quiconque d’émettre des commandes vers la CLI, même un site Web que vous visitez.
L’API VPN Atlas mène à un exploit Zero Day
Un utilisateur de Reddit nommé « Educational-Map-8145 » a publié un exploit PoC sur Reddit qui abuse de l’API Linux Atlas VPN pour révéler les véritables adresses IP d’un utilisateur.
Ce PoC crée un formulaire masqué qui est automatiquement soumis par JavaScript pour se connecter à l’URL du point de terminaison de l’API http://127.0.0.1:8076/connection/stop.
Lorsque ce point de terminaison d’API est accédé, il met automatiquement fin à toutes les sessions Atlas VPN actives qui masquent l’adresse IP d’un utilisateur.
Une fois la connexion VPN déconnectée, le PoC se connectera à l’URL api.ipify.org pour enregistrer l’adresse IP réelle du visiteur.
Il s’agit d’une grave violation de la vie privée pour tout utilisateur de VPN, car elle expose son emplacement physique approximatif et son adresse IP réelle, ce qui lui permet d’être suivi et annule l’une des principales raisons d’utiliser un fournisseur VPN.
L’ingénieur en cybersécurité d’Amazon, Chris Partridge, a testé et confirmé l’exploit, en créant la vidéo ci-dessous pour démontrer qu’il peut être exploité pour révéler une adresse IP.
Partridge a en outre expliqué que le PoC contourne les protections CORS (Cross-Origin Resource Sharing) existantes sur les navigateurs Web, car les requêtes sont envoyées à l’API VPN Atlas sous forme de soumissions de formulaires.
« Les soumissions de formulaires sont exemptées de CORS pour des raisons d’héritage/de compatibilité, elles sont considérées comme une » simple demande « par la spécification CORS », a déclaré Partridge à Breachtrace .
Normalement, CORS bloque les requêtes effectuées par des scripts dans des pages Web vers des domaines différents de ceux du domaine d’origine. Dans le cas de cet exploit, il s’agirait de requêtes adressées par n’importe quel site Web à l’hôte local d’un visiteur à l’adresse « http://127.0.0.1:8076/connection/stop ».
Cependant, Partridge a expliqué à Breachtrace que l’utilisation d’une soumission de formulaire pour « contourner » CORS ne permettrait pas à un site Web de voir les réponses provenant de la soumission du formulaire.
Cependant, dans ce cas, la réponse n’est pas nécessaire, car la soumission du formulaire est simplement utilisée pour accéder à l’URL permettant de déconnecter la connexion Atlas VPN sous Linux.
« On suppose que les formulaires devraient déjà se prémunir contre le CSRF. Ce qui, comme nous pouvons le constater aujourd’hui, n’est pas une bonne hypothèse et a entraîné des conséquences inattendues », a prévenu Partridge.
Correctif à venir dans le prochain patch
L’utilisateur de Reddit affirme avoir contacté Atlas VPN à propos du problème, mais avoir été ignoré, et comme la société n’avait pas mis en place de programme de prime aux bogues, la divulgation publique était la seule option logique qui restait.
Atlas VPN a finalement répondu au problème quatre jours après la divulgation, s’excusant auprès du journaliste et promettant de publier un correctif pour son client Linux dès que possible. De plus, les utilisateurs de Linux seront avertis lorsque la mise à jour sera disponible.
En réponse à notre demande de commentaire, un porte-parole d’Atlas VPN a envoyé ce qui suit :
« Nous sommes conscients de la vulnérabilité de sécurité qui affecte notre client Linux. Nous prenons la sécurité et la confidentialité des utilisateurs très au sérieux. Par conséquent, nous travaillons activement à la corriger dès que possible. Une fois résolue, nos utilisateurs recevront une invite pour mettre à jour leur application Linux vers la dernière version.
La vulnérabilité affecte la version 1.0.3 du client Atlas VPN Linux. Comme l’a déclaré le chercheur, en raison de cette vulnérabilité, l’application et, par conséquent, le trafic crypté entre un utilisateur et la passerelle VPN peuvent être déconnectés par un acteur malveillant. Cela pourrait conduire à la divulgation de l’adresse IP de l’utilisateur.
Nous apprécions grandement le rôle essentiel des chercheurs en cybersécurité dans l’identification et la correction des failles de sécurité des systèmes, ce qui contribue à se prémunir contre les cyberattaques potentielles, et nous les remercions d’avoir porté cette vulnérabilité à notre attention. Nous mettrons en œuvre davantage de contrôles de sécurité dans le processus de développement pour éviter de telles vulnérabilités à l’avenir. Si quelqu’un rencontre d’autres menaces potentielles liées à notre service, veuillez nous contacter via security@Atlas VPN.com. » – Atlas VPN.
Compte tenu du caractère critique de cette vulnérabilité zero-day, qui reste exploitable jusqu’à la publication d’un correctif, il est fortement conseillé aux utilisateurs de clients Linux de prendre des précautions immédiates, notamment d’envisager une solution VPN alternative.