Les utilisateurs de clients Linux d’Atlas VPN peuvent être exposés à un risque de fuite de données, au moins temporairement. Les experts ont confirmé une faille zero-day d’Atlas VPN affectant le client Linux et pouvant révéler l’adresse IP de l’utilisateur en visitant un site Web.

Un utilisateur de Reddit avec le pseudo « Educational-Map-8145 » a publié la semaine dernière un exploit de validation de principe pour une faille zero-day dans le client Linux d’Atlas VPN. Le code d’exploitation fonctionne sur la dernière version du client, 1.0.3.

Selon le chercheur, le client Linux d’Atlas VPN, en particulier la dernière version (1.0.3), dispose d’un point de terminaison API qui écoute sur localhost (127.0.0.1) sur le port 8076. Cette API offre une interface de ligne de commande (CLI) pour effectuer diverses actions, telles que la déconnexion d’une session VPN à l’aide de l’URL http://127.0.0.1:8076/connection/stop.

Le problème avec cette configuration est que cette API n’effectue aucune authentification, ce qui permet à n’importe qui d’émettre des commandes vers la CLI, même un site Web que vous visitez.

Le chef du département informatique d’Atlas VPN a publié mardi, quelques jours plus tard, sur Reddit une reconnaissance de la faille, s’excusant du retard de réponse et notant que les informaticiens de l’entreprise étaient en train de résoudre le problème.

Edvardas Garbenis, chercheur en cybersécurité et éditeur chez Atlas VPN, a confirmé cette information.

« Nous sommes conscients de la vulnérabilité de sécurité qui affecte notre client Linux. Nous prenons très au sérieux la sécurité et la confidentialité des utilisateurs. Par conséquent, nous travaillons activement à le résoudre le plus rapidement possible », a déclaré Garbenis à LinuxInsider. « Une fois résolu, nos utilisateurs recevront une invite pour mettre à jour leur application Linux vers la dernière version. »

Garbenis n’a pas fourni de calendrier pour résoudre la vulnérabilité. Cependant, il a confirmé que le problème est limité au client Linux et n’affecte pas les autres applications Atlas VPN.

Détails révélés

Le message de Reddit indique que la vulnérabilité affecte la version 1.0.3 du client Atlas VPN Linux. En conséquence, un acteur malveillant peut déconnecter l’application Linux et le trafic chiffré entre un utilisateur Linux et la passerelle VPN, divulguant potentiellement l’adresse IP de l’utilisateur.

Le cyber-chercheur de Reddit a déclaré dans son message qu’il n’était pas encore au courant de son utilisation dans la nature. Cependant, l’affiche remettait également en question la fiabilité et la sécurité d’Atlas VPN.

La cause première de la vulnérabilité se compose de deux parties, selon l’affiche de Reddit. Un démon (atlasvpnd) gère les connexions et un client (atlasvpn) fournit des contrôles utilisateur pour se connecter, se déconnecter et répertorier les services.


Plutôt que de disposer d’un socket local ou d’un autre moyen sécurisé pour se connecter, l’application Linux ouvre une API sur localhost sur le port 8076 sans aucune authentification. Tout programme exécuté sur l’ordinateur accédant, y compris le navigateur Web, peut utiliser ce port. Un JavaScript malveillant sur n’importe quel site Web peut créer une requête sur ce port et déconnecter le VPN.

« S’il exécute ensuite une autre requête, l’adresse IP personnelle de l’utilisateur sera divulguée sur N’IMPORTE QUEL site Web utilisant le code d’exploitation », selon l’affiche de Reddit.

Un défaut peut-être pas si unique

En fonction de la configuration de l’infrastructure, un VPN se trouve souvent en périphérie, permettant l’accès aux réseaux internes et externes. En outre, les solutions de sécurité intégrées font confiance au trafic entrant et sortant, a noté Mayuresh Dani, responsable de la recherche sur les menaces au sein de la société informatique, de sécurité et de conformité Qualys.

« Les clients Endpoint VPN sont aujourd’hui présents sur tous les appareils, augmentant ainsi la surface d’attaque. Ce positionnement fait des VPN une cible attrayante pour les acteurs de menace externes et internes », a-t-il déclaré à LinuxInsider.

Dans l’environnement de travail hybride actuel, un VPN compromis pourrait entraîner la perte d’informations personnelles sensibles. Cela permet également aux attaquants externes d’accéder aux réseaux internes, a-t-il ajouté.

La popularité du VPN entraîne des dérapages en matière de sécurité

Le marché des fournisseurs VPN est désormais encombré et compétitif. Environ 33 % de tous les internautes comptent sur les VPN pour masquer leur identité ou déplacer leur lieu d’origine.

« C’est un marché énorme, mais avec beaucoup d’acteurs. Il peut être difficile de différencier les prestataires par autre chose que le coût. Et lorsque les coûts par utilisateur sont très faibles, cela peut conduire à des logiciels précipités essayant de conquérir le marché », a suggéré Shawn Surber, directeur principal de la gestion des comptes techniques chez la société de gestion des points de terminaison convergés Tanium, à LinuxInsider.

L’hypothèse selon laquelle la protection CORS (Cross-Origin Resource Sharing) l’empêcherait aurait pu être à l’origine de la vulnérabilité. Cependant, les ingénieurs ont conçu cette fonctionnalité de sécurité pour empêcher le vol de données et le chargement de ressources externes, et non pour résoudre la vulnérabilité en question.

Dans le scénario Atlas VPN, l’attaque utilise à la place une simple commande, qui échappe au gant CORS, a-t-il expliqué. Dans ce cas, il désactive le VPN, exposant immédiatement l’adresse IP et l’emplacement général de l’utilisateur.

« Il s’agit d’un problème assez important pour les utilisateurs de VPN. Il ne semble pas encore exposer d’autres données ni fournir une possibilité d’installation de logiciels malveillants », a-t-il noté.

Outil pour les nouvelles cyberattaques

Toute information est une bonne information pour un acteur malveillant. Un adversaire expérimenté saura comment utiliser ces informations à son avantage dans une campagne d’attaque, a proposé Nick Rago, directeur technique de la société de sécurité API Salt Security.


L’ingénierie sociale joue un rôle dans la première vague d’une campagne de cyberattaque. Désactiver le VPN d’un utilisateur ciblé et exposer son adresse IP et sa géolocalisation permettent aux mauvais acteurs d’exploiter ces informations pour créer une attaque de phishing plus convaincante et plus efficace, adaptée à l’utilisateur ciblé, a-t-il déclaré à propos du danger potentiel de la vulnérabilité Atlas VPN Linux.

« Une protection adéquate des points de terminaison est ici essentielle pour que l’équipe de sécurité d’une organisation puisse découvrir si des interfaces, telles qu’une API ouverte et non exposée, sont présentes sur les systèmes de leurs employés et, si elles sont autorisées à exister, bloquer toute tentative d’utilisation de cette interface dans un manière inattendue », a-t-il déclaré à LinuxInsider.

Rappel de cybersécurité VPN

La récente vulnérabilité découverte dans la version 1.0.3 du client Linux d’Atlas VPN est un rappel brutal des risques potentiels associés aux services VPN, même s’ils visent à améliorer la sécurité et la confidentialité.

Bien qu’Atlas VPN s’attaque activement au problème, les utilisateurs doivent rester vigilants et se tenir au courant des correctifs logiciels.

Cette affaire souligne également la nécessité cruciale de mesures de sécurité rigoureuses, y compris une protection adéquate des points finaux, de la part des services VPN et des consommateurs qui en dépendent.

Dans le contexte actuel de cybersécurité de plus en plus complexe, chaque maillon faible de la chaîne de sécurité peut avoir des conséquences importantes.

A lire également