Linux クライアントに影響を与える Atlas VPN のゼロデイ脆弱性により、Web サイトにアクセスするだけでユーザーの実際の IP アドレスが漏洩します。
Atlas VPN は、WireGuard に基づいたコスト効率の高いソリューションを提供し、すべての主要なオペレーティング システムをサポートする VPN 製品です。
Reddit で共有された概念実証エクスプロイトの中で、研究者は、Atlas VPN の Linux クライアント、具体的には最新バージョン 1.0.3 が、ポート 8076 経由でローカルホスト (127.0.0.1) をリッスンする API エンドポイントをどのように備えているかについて説明しています。
この API は、http://127.0.0.1:8076/connection/stop URL を使用した VPN セッションの切断など、さまざまなアクションを実行するためのコマンドライン インターフェイス (CLI) を提供します。
ただし、この API は認証を実行しないため、アクセスしている Web サイトであっても、誰でも CLI にコマンドを発行できます。
Atlas VPN API がゼロデイエクスプロイトにつながる
「Educational-Map-8145」という名前の Reddit ユーザーが、Atlas VPN Linux API を悪用してユーザーの実際の IP アドレスを明らかにするPoC エクスプロイトを Reddit で公開しました。
この PoC は、 http://127.0.0.1:8076/connection/stop API エンドポイント URL に接続するために JavaScript によって自動的に送信される非表示のフォームを作成します。
この API エンドポイントにアクセスすると、ユーザーの IP アドレスを隠すアクティブな Atlas VPN セッションが自動的に終了します。
VPN 接続が切断されると、PoC はapi.ipify.org URL に接続して、訪問者の実際の IP アドレスを記録します。
これは、VPN ユーザーのおおよその物理的位置と実際の IP アドレスが公開され、追跡されるようになり、VPN プロバイダーを使用する主な理由の 1 つが無効になるため、VPN ユーザーにとって重大なプライバシー侵害です。
Amazon のサイバーセキュリティ エンジニアChris Partridge は、このエクスプロイトをテストして確認し、このエクスプロイトを利用して IP アドレスを明らかにできることを示す以下のビデオを作成しました。
Partridge 氏はさらに、リクエストがフォーム送信として Atlas VPN API に送信されるため、PoC は Web ブラウザ上の既存の CORS ( Cross-Origin Resource Sharing ) 保護をバイパスすると説明しました。
「フォームの送信は、レガシー/互換性の理由から CORS から除外されています。CORS 仕様では、フォームの送信は「 単純なリクエスト」とみなされます」と Partridge 氏は語った。
通常、CORS は、Web ページ内のスクリプトによって元のドメインとは異なるドメインに対して行われたリクエストをブロックします。このエクスプロイトの場合、任意の Web サイトから訪問者のローカルホスト (http://127.0.0.1:8076/connection/stop) に対してリクエストが行われます。
ただし、フォーム送信を使用して CORS を「バイパス」すると、Web サイトはフォーム送信からの応答を確認できなくなると Partridge 氏は説明しました。
ただし、この場合、フォームの送信は Linux で Atlas VPN 接続を切断するための URL にアクセスするためにのみ使用されるため、応答は必要ありません。
「フォームは既にCSRFを防御しているはずだという仮定がある。今日見てわかるように、これは良い仮定ではなく、意図しない結果を招いている」とパートリッジ氏は警告した。
今後のパッチで修正予定
Reddit ユーザーは、この問題について Atlas VPN に連絡したが無視されたと主張しており、同社はバグ報奨金プログラムを導入していなかったので、論理的に公開することが唯一残された選択肢だったという。
Atlas VPN は最終的に、開示から 4 日後にこの問題に対応し、記者に謝罪し、Linux クライアント用の修正プログラムをできるだけ早くリリースすることを約束しました。また、Linux ユーザーには、アップデートが利用可能になると通知が届きます。
私たちのコメント要請に応えて、Atlas VPN の広報担当者は次の内容を送信しました。
「私たちは、Linux クライアントに影響を与えるセキュリティの脆弱性を認識しています。私たちはセキュリティとユーザーのプライバシーを非常に真剣に受け止めています。そのため、できるだけ早く修正するために積極的に取り組んでいます。解決されたら、ユーザーにはアップデートするよう求めるメッセージが表示されます」 Linux アプリを最新バージョンにアップデートします。
この脆弱性は、Atlas VPN Linux クライアント バージョン 1.0.3 に影響します。研究者が述べたように、この脆弱性により、アプリケーション、つまりユーザーと VPN ゲートウェイ間の暗号化されたトラフィックが悪意のある攻撃者によって切断される可能性があります。これにより、ユーザーの IP アドレスが漏洩する可能性があります。
私たちは、潜在的なサイバー攻撃に対する保護に役立つ、システム内のセキュリティ上の欠陥を特定して対処するサイバーセキュリティ研究者の重要な役割を非常に高く評価しており、この脆弱性について私たちの注意を引いてくれたことに感謝します。今後このような脆弱性を回避するために、開発プロセスにさらに多くのセキュリティチェックを実装する予定です。当社のサービスに関連するその他の潜在的な脅威に遭遇した場合は、security@Atlas VPN.com 経由で当社までご連絡ください。」 – Atlas VPN。
このゼロデイ脆弱性の重大な性質を考慮すると、パッチがリリースされるまで悪用可能のままであるため、Linux クライアント ユーザーは、代替の VPN ソリューションを検討するなど、直ちに予防措置を講じることを強くお勧めします。
Comments