Attention, utilisateurs d'Atlas VPN ! Une grave faille zero-day affecte le client Linux d'Atlas VPN, mettant en péril les systèmes. Bien que le bogue ait été signalé, les fournisseurs de VPN n'ont pas encore corrigé la faille, assurant la correction dans une prochaine version. Jusqu'à ce que le correctif arrive, les utilisateurs de VPN, en particulier les utilisateurs de Linux, devraient éviter d'utiliser le logiciel pour rester en sécurité.
La faille Zero-Day d'Atlas VPN attend un correctif
Un utilisateur anonyme a récemment fait sensation sur Internet en lâchant brusquement un zero-day d'Atlas VPN sur Reddit. L'utilisateur au pseudonyme “Educational-Map-8145” (compte désormais suspendu) a posté l'exploit PoC sur Reddit après avoir été déçu par la réponse de l'assistance du service.
Comme expliqué dans le post, le client Linux Atlas VPN comprend deux composants : atlasvpnd – un démon gérant les connexions, et atlasvpn – le client. L'auteur du post a constaté que le client VPN n'utilisait aucune méthode sécurisée pour se connecter. Au lieu de cela, il “ouvre une API sur l'hôte local sur le port 8076”, qui manque d'authentification. C'est là que le problème se pose puisque n'importe qui peut accéder au point d'extrémité de l'API ouverte sans authentification et déconnecter brusquement les connexions VPN actives.
Ce port peut être accédé par N'IMPORTE QUEL programme s'exécutant sur l'ordinateur, y compris le navigateur. Un javascript malveillant sur N'IMPORTE QUEL site web peut donc créer une requête vers ce port et déconnecter le VPN. S'il exécute ensuite une autre requête, l'adresse IP du domicile de l'utilisateur sera divulguée à N'IMPORTE QUEL site Web utilisant le code d'exploitation.
Le message comprend également le code d'exploitation qui, bien qu'il ne soit pas destiné à une utilisation malveillante, risque de déconnecter les utilisateurs du VPN Atlas.
Suite à ce post, Chris Partridge, ingénieur en cybersécurité chez Amazon, a également présenté l'exploit dans la vidéo suivante. Il a également démontré que le PoC contournait le Cross-Origin Resource Sharing (CORS) existant sur les navigateurs web car les requêtes se font passer pour des soumissions de formulaires (exemptées de CORS) pour atteindre l'API d'Atlas VPN.
Alors que l'auteur de l'affiche ne s'attendait pas à une réponse à son message (comme en témoignent ses mots), le responsable du département informatique d'Atlas VPN lui a répondu sur le champ. Selon le commentaire du responsable, le fournisseur de VPN s'est engagé à résoudre le problème, en publiant une mise à jour pour le client Linux d'Atlas VPN avec le correctif. De plus, le responsable s'est également excusé pour la mauvaise réponse de l'assistance à laquelle l'auteur de l'affiche a dû faire face, en s'assurant d'améliorer ce processus également.
Bien qu'Atlas VPN ait promis le correctif, les clients Linux existants sont vulnérables. Ainsi, les clients d'Atlas VPN devraient éviter de l'utiliser sur leurs appareils Linux jusqu'à ce que le correctif arrive.
Fais-nous part de tes réflexions dans les commentaires.
