Опасный баг или скрытая фича? AtlasVPN игнорирует критическую уязвимость

Несколько дней назад на зарубежной площадке Reddit появилась информация об обнаружении серьёзной уязвимости безопасности в клиенте AtlasVPN для операционной системы Linux .

Исследователь кибербезопасности, пожелавший остаться анонимным, опубликовал рабочий PoC - эксплойт и продемонстрировал общественности, как злоумышленники могут, разместив код эксплойта на своём вредоносном сайте, получить доступ к реальному IP-адресу любого пользователя Linux-версии вышеозвученного VPN -клиента.

«AtlasVPN несерьёзно относится к безопасности своих пользователей. Их решения по безопасности программного обеспечения настолько отстойны, что даже трудно поверить, что это ошибка, а не специальная лазейка. Никто не может быть настолько некомпетентным», — раскритиковал подход компании анонимный специалист.

По словам исследователя, уязвимость возникла из-за ряда серьёзных ошибок в архитектуре приложения. В частности, клиент AtlasVPN открывает API на локальном хосте через порт 8076, который не имеет абсолютно никакой аутентификации.

Исходя из этого, любая программа, запущенная на компьютере, включая веб-браузер, может получить полный доступ к этому порту. А значит и любой веб-сайт с соответствующим содержимым может отправить запрос по этому порту и банально отключить VPN, раскрыв затем реальный IP-адрес пользователя.

Эксперт пытался связаться со службой поддержки AtlasVPN, чтобы сообщить об уязвимости, однако ответа так и не получил. По его мнению, это свидетельствует о халатном отношении компании к безопасности своих клиентов.

На момент публикации данной новости представители AtlasVPN никак не прокомментировали ситуацию. Всем пользователям клиента под Linux рекомендуется проявлять осторожность при посещении непроверенных сайтов или же вовсе на время сменить VPN-клиент пока уязвимость не будет устранена.