概述
Atlas VPN 是一款基于 WireGuard 的 VPN 产品,提供经济实惠的解决方案,并支持所有主要操作系统。然而,最近发现其 Linux 客户端存在零日漏洞,仅通过访问网站就能泄露用户的真实 IP 地址。
漏洞详情
在 Reddit 上,一位研究人员分享了一个概念验证(PoC)漏洞,指出 Atlas VPN 的 Linux 客户端(最新版本 1.0.3)有一个监听在本地主机(127.0.0.1)上的 API 端点,使用端口 8076。该 API 提供了一个命令行接口(CLI),用于执行各种操作,例如通过访问 http://127.0.0.1:8076/connection/stop URL 来断开 VPN 会话。
缺乏身份验证
这个 API 并没有进行任何身份验证,导致任何人都可以向 CLI 发出命令,甚至是你正在访问的网站。Reddit 用户 'Educational-Map-8145' 发布了一个 PoC 漏洞,利用 Atlas VPN Linux API 来泄露用户的真实 IP 地址。
漏洞利用
该 PoC 创建了一个隐藏表单,通过 JavaScript 自动提交,以连接到 http://127.0.0.1:8076/connection/stop API 端点。当访问该 API 端点时,会自动终止任何活跃的 Atlas VPN 会话,从而隐藏用户的 IP 地址。一旦 VPN 连接断开,PoC 会连接到 api.ipify.org URL,以记录访问者的实际 IP 地址。
严重的隐私泄露
这对任何 VPN 用户来说都是一个严重的隐私侵犯,因为它暴露了他们的近似物理位置和实际 IP 地址,使他们容易被追踪,完全抵消了使用 VPN 供应商的核心原因之一。
安全专家的测试
亚马逊网络安全工程师 Chris Partridge 测试并确认了该漏洞,制作了视频以演示如何利用该漏洞泄露 IP 地址。Partridge 进一步解释,PoC 绕过了现有的 CORS(跨源资源共享)保护,因为请求作为表单提交发送到 Atlas VPN API。
"表单提交由于遗留/兼容性原因被排除在 CORS 之外,CORS 规范将其视为“简单请求”," Partridge 告诉 BleepingComputer。
通常情况下,CORS 会阻止来自网页脚本对不同于源域的请求。然而,在这个漏洞的情况下,任何网站都可以向访问者的本地主机发送请求。
修复方案
该 Reddit 用户声称他们已联系 Atlas VPN 处理此问题,但遭到忽视。由于该公司没有漏洞奖励计划,公开披露成了唯一的合理选择。Atlas VPN 在披露后四天才对此问题做出回应,向报告者道歉,并承诺尽快发布 Linux 客户端的修复。
Atlas VPN 的声明
Atlas VPN 的一名发言人表示:
"我们已意识到影响我们 Linux 客户端的安全漏洞。我们非常重视安全性和用户隐私,因此,我们正在积极努力尽快修复。一旦解决,我们的用户将收到更新其 Linux 应用程序到最新版本的提示。"
用户建议
鉴于该零日漏洞的严重性,Atlas VPN Linux 客户端用户被强烈建议立即采取预防措施,包括考虑使用替代的 VPN 解决方案。
结论
Atlas VPN 的这一安全漏洞提醒我们,在选择 VPN 服务时,安全性是一个不可忽视的重要因素。用户应定期检查服务提供商的安全更新,并考虑使用更安全的替代方案。
希望这篇文章对你了解 Atlas VPN 的最新安全漏洞有所帮助。如有更多问题或需要进一步的信息,请随时联系。
