Linux istemcisini etkileyen bir Atlas VPN sıfır gün güvenlik açığı, yalnızca bir web sitesini ziyaret ederek kullanıcının gerçek IP adresini sızdırıyor.
Atlas VPN, WireGuard’ı temel alan uygun maliyetli bir çözüm sunan ve tüm önemli işletim sistemlerini destekleyen bir VPN ürünüdür.
Reddit’te paylaşılan bir istismar kavramı kanıtında bir araştırmacı, Atlas VPN’in Linux istemcisinin, özellikle de en son sürüm olan 1.0.3’ün, 8076 numaralı bağlantı noktası üzerinden localhost’u (127.0.0.1) dinleyen bir API uç noktasına nasıl sahip olduğunu açıklıyor.
Bu API, http://127.0.0.1:8076/connection/stop URL’sini kullanarak bir VPN oturumunun bağlantısını kesmek gibi çeşitli eylemleri gerçekleştirmek için bir komut satırı arayüzü (CLI) sunar.
Ancak bu API herhangi bir kimlik doğrulama gerçekleştirmez ve ziyaret ettiğiniz web sitesi dahil herkesin CLI’ye komut vermesine olanak tanır.
Atlas VPN API sıfır gün istismarına yol açıyor
‘Educational-Map-8145’ adlı bir Reddit kullanıcısı, Reddit’te, kullanıcının gerçek IP adreslerini ortaya çıkarmak için Atlas VPN Linux API’sini kötüye kullanan bir PoC istismarı yayınladı.
Bu PoC, JavaScript’e bağlanmak için otomatik olarak gönderilen gizli bir form oluşturur. http://127.0.0.1:8076/connection/stop API uç noktası URL’si.
Bu API uç noktasına erişildiğinde, kullanıcının IP adresini gizleyen tüm etkin Atlas VPN oturumları otomatik olarak sonlandırılır.
VPN bağlantısı kesildiğinde PoC, api.ipify.org Ziyaretçinin gerçek IP adresini günlüğe kaydedecek URL.
Bu, herhangi bir VPN kullanıcısı için ciddi bir gizlilik ihlalidir çünkü kullanıcıların yaklaşık fiziksel konumlarını ve gerçek IP adreslerini açığa çıkarır, takip edilmelerine olanak tanır ve bir VPN sağlayıcı kullanmanın temel nedenlerinden birini geçersiz kılar.
Amazon siber güvenlik mühendisi Chris Partridge, bu istismarı test edip doğruladı ve bir IP adresini açığa çıkarmak için bundan yararlanılabileceğini göstermek üzere aşağıdaki videoyu hazırladı.
Partridge ayrıca, isteklerin form gönderimleri olarak Atlas VPN API’sine gönderilmesi nedeniyle PoC’nin web tarayıcılarındaki mevcut CORS (Çapraz Kökenli Kaynak Paylaşımı) korumalarını atladığını açıkladı.
Partridge, BleepingComputer’a “Form gönderimleri eski/uyumluluk nedenlerinden dolayı CORS’tan muaftır, CORS spesifikasyonu tarafından “basit bir istek” olarak kabul edilirler.” dedi.
Normalde CORS, web sayfalarındaki komut dosyaları tarafından kaynak alan adından farklı alanlara yapılan istekleri engeller. Bu istismar durumunda, herhangi bir web sitesi tarafından ziyaretçinin “http://127.0.0.1:8076/connection/stop” adresindeki yerel ana bilgisayarına yapılan istekler olabilir.
Ancak Partridge, BleepingComputer’a, CORS’u “atlamak” için bir form gönderimi kullanmanın, bir web sitesinin form gönderiminden herhangi bir yanıt görmesine izin vermeyeceğini açıkladı.
Ancak bu durumda yanıt gerekli değildir, çünkü form gönderimi yalnızca Linux’ta Atlas VPN bağlantısının kesilmesi için URL’ye erişmek amacıyla kullanılır.
Partridge, “Formların zaten CSRF’ye karşı koruma sağlaması gerektiği varsayımı. Bugün görebildiğimiz gibi, bu iyi bir varsayım değil ve bazı istenmeyen sonuçlara yol açıyor” diye uyardı.
Gelecek yamada düzeltme gelecek
Reddit kullanıcısı, sorunla ilgili olarak Atlas VPN ile iletişime geçtiklerini ancak göz ardı edildiğini ve şirketin bir hata ödül programı olmadığından, geriye kalan tek mantıklı seçeneğin kamuya açıklanması olduğunu iddia ediyor.
Atlas VPN, açıklamanın ardından dört gün sonra soruna yanıt vererek muhabirden özür diledi ve Linux istemcisi için mümkün olan en kısa sürede bir düzeltme yayınlayacağına söz verdi. Ayrıca Linux kullanıcıları güncelleme mevcut olduğunda bilgilendirilecek.
Yorum talebimize yanıt olarak Atlas VPN’in bir sözcüsü aşağıdakileri gönderdi:
“Linux istemcimizi etkileyen güvenlik açığının farkındayız. Güvenliği ve kullanıcı gizliliğini çok ciddiye alıyoruz. Bu nedenle, mümkün olan en kısa sürede düzeltmek için aktif olarak çalışıyoruz. Çözüldükten sonra kullanıcılarımıza güncelleme yapmaları için bir uyarı gönderilecektir. Linux uygulamalarını en son sürüme yükseltin.
Güvenlik açığı Atlas VPN Linux istemcisinin 1.0.3 sürümünü etkiliyor. Araştırmacının belirttiği gibi, güvenlik açığı nedeniyle uygulama ve dolayısıyla kullanıcı ile VPN ağ geçidi arasındaki şifrelenmiş trafik, kötü niyetli bir aktör tarafından kesilebilir. Bu, kullanıcının IP adresinin ifşa edilmesine yol açabilir.
Siber güvenlik araştırmacılarının, potansiyel siber saldırılara karşı korunmaya yardımcı olan sistemlerdeki güvenlik kusurlarını belirleme ve ele alma konusundaki hayati rolünü büyük ölçüde takdir ediyoruz ve bu güvenlik açığına dikkatimizi çektikleri için onlara teşekkür ediyoruz. Gelecekte bu tür güvenlik açıklarından kaçınmak için geliştirme sürecinde daha fazla güvenlik kontrolü uygulayacağız. Hizmetimizle ilgili herhangi başka bir potansiyel tehditle karşılaşan herhangi biri varsa lütfen bizimle güvenlik@Atlas VPN.com adresinden iletişime geçin.” – Atlas VPN.
Bir yama yayınlanana kadar yararlanılabilen bu sıfır gün güvenlik açığının kritik doğası göz önüne alındığında, Linux istemci kullanıcılarının alternatif bir VPN çözümü de dahil olmak üzere acil önlemler almaları şiddetle tavsiye edilir.