리눅스 클라이언트에 영향을 미치는 Atlas VPN 제로데이 취약점은 단순히 웹사이트를 방문하는 것만으로도 사용자의 실제 IP 주소를 유출하는 취약점이 발견되었습니다. Atlas VPN은 WireGuard를 기반으로 비용 효율적인 솔루션을 제공하고 모든 주요 운영 체제를 지원하는 VPN 제품입니다.
공유된 개념 증명 익스플로잇에서 연구원은 Atlas VPN의 Linux 클라이언트, 특히 최신 버전인 1.0.3이 포트 8076을 통해 로컬 호스트(127.0.0.1)에서 수신 기다리는 API 엔드포인트를 갖는 방법을 설명합니다.
해당 API는 http://127.0.0.(1):8076/connection/stop URL을 사용하여 VPN 세션 연결을 끊는 등 다양한 작업을 수행하기 위한 명령줄 인터페이스(CLI)를 제공을 하면 해당 API는 인증을 수행하지 않으므로 방문 중인 웹사이트라도 누구든지 CLI에 명령을 실행할 수 있습니다.
Atlas VPN API가 제로데이 익스플로잇
Educational-Map-8145라는 Reddit 사용자는 PoC 익스플로잇을 Reddit에 게시
Atlas VPN Linux API를 악용하여 사용자의 실제 IP 주소를 공개하는 문제 발견
PoC는 JavaScript에 의해 자동으로 제출되는 숨겨진 양식을 생성하여 http://127.0.0(.)1:8076/connection/stopAPI 엔드포인트 URL
해당 API 엔드포인트에 액세스하면 사용자의 IP 주소를 숨기는 활성 Atlas VPN 세션이 자동으로 종료
VPN 연결이 끊어지면 PoC는 api.ipify(.)org 에서 방문자의 실제 IP 주소를 기록하는 URL
즉 VPN 사용자의 대략적인 물리적 위치와 실제 IP 주소를 노출하여 VPN 공급자를 사용하는 핵심 이유 중 하나를 추적하고 무효화 할 수 있으므로 모든 VPN 사용자에게 심각한 개인 정보 보호 위반
Amazon 사이버 보안 엔지니어 Chris Partridge는 익스플로잇을 테스트하고 확인했으며 이를 활용하여 IP 주소를 공개할 수 있음을 보여주기 위해 동영상을 공개했습니다.
PoC가 웹 브라우저의 기존 CORS( Cross-Origin Resource Sharing ) 보호를 우회한다고 설명일반적으로 CORS는 원본 도메인이 아닌 다른 도메인에 대한 웹 페이지의 스크립트 요청을 차단 악용은 모든 웹사이트에서 방문자의 로컬 호스트(http://127.0(.)0.1:8076/connection/stop)로 요청하게 됩니다.
CORS를 우회하면 웹 사이트가 양식 제출의 응답을 볼 수 없게 된다고 설명
그러나 이 경우 양식 제출은 단순히 URL에 액세스하여 Linux에서 Atlas VPN 연결을 끊는 데 사용되므로 응답이 필요하지 않음
앞으로 패치에서 수정 예정
해당 VPN 업체에서는 가능한 한 빨리 Linux 클라이언트에 대한 수정 사항을 출시하겠다고 약속
패치가 출시될 때까지 계속 악용될 수 있는 이 제로데이 취약점의 중대한 특성을 고려하여 Atlas VPN Linux 클라이언트 사용자는 대체 VPN 솔루션을 고려하는 것을 포함하여 즉각적인 예방 조처를 하는 것이 좋습니다. 해당 VPN은 다음과 같은 데이터 수집
앱 이벤트(앱 설정 변경, 설정 화면 열기, 체험 시작 등)
Atlas VPN이 생성한 임의 식별자, 장치에 서명된 토큰
기본 장치 정보(장치 유형,모델,브랜드,OS 버전, 장치 ID, 언어, 시간대 등)
기여도 분석(설치 소스 및 트래픽 소스 추적)
광고 ID
[소프트웨어 팁/보안 및 분석] - 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료)
일단 VPN을 사용한다고 하면 중국에서도 잘 작동하는 NordVPN, ExpressVPN를 추천하며 이레 동안 체험을 통해서 자신이 맞는 것을 선택하면 구매를 했으면 30일 안에 환급할 수 있니 스스로 판단을 하시면 될 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
파이어폭스(Firefox),썬더버드(Thunderbird) WebP 보안 문제 업데이트 (0) | 2023.09.13 |
---|---|
페이스북 비즈니스 계정 사칭 피싱 사이트-account fb reserve 5e029(.)web(.)app(2023.9.9) (2) | 2023.09.13 |
스타벅스 NFT 에어드랍 피싱(Phising) 사이트-starbucks-kr(.)com(2023.9.8) (0) | 2023.09.12 |
구글 크롬 세이프 브라우징 보안 기능을 실시간으로 확인 (0) | 2023.09.09 |
북한 해킹 단체 Reaper(리퍼)에서 만든 후쿠시마 오염수 방류(후쿠시마 처리수) 내용을 악용한 악성코드-1.chm(2023.9.5) (0) | 2023.09.07 |
트론(TRX) 에어드랍 위장한 피싱 사이트-USDT 에어드랍(2023.8.31) (0) | 2023.09.07 |
핀뱅크 개인정보 탈취 목적으로 제작이 된 악성코드-이자조회.html(2023.09.04) (0) | 2023.09.05 |
삼성 브라우저를 위장 하고 있는 스마트폰 악성코드-인터넷.apk(국민건강공단 피싱앱) (0) | 2023.09.04 |