Atlas VPN的零時差漏洞可外洩用戶真實IP

來自美國的VPN服務供應商Atlas VPN上周遭踢爆含有零時差漏洞，將允許駭客取得用戶的真實IP，此一漏洞僅影響Linux版用戶，目前Atlas VPN正著手修補，尚未釋出安全更新。

此一漏洞的曝光源自於一名Reddit用戶的公開貼文，而他似乎是因一直無法聯繫到Atlas VPN的安全團隊才決定昭告天下，根據其描述，AtlasVPN Linux客戶端是由兩個部分所組成，一是用來管理連結的守護進程（atlasvpnd），二則是使用者用來控制連線、斷線及可存取服務的客戶端（atlasvpn）。

不過，客戶端並非透過本地端通道（Local Socket）或任何其它安全方式連結，而是於本地主機的8076埠上開啟一個API，亦無任何的驗證機制，由於在電腦上所執行的任何程式皆可存取該傳輸埠，包括瀏覽器在內，使得駭客只要在網站植入一個惡意的Javascript就能向該埠送出偽造的請求以將該VPN斷線，再發送另一個請求取得Atlas VPN用戶的真實IP。

該名使用者不僅公布了漏洞細節，也提供了概念性驗證攻擊程式，另一名安全工程師Chris Partridge則證實了該攻擊程式是可行的。

Atlas VPN提供免費版與付費版的VPN服務，所支援的作業系統涵蓋Windows、macOS、Linux、Android、iOS、Android TV與Amazon Fire TV，但此一安全漏洞僅影響Atlas VPN Linux客戶端1.0.3，這是目前最新的Linux客戶端版本。

Atlas VPN的IT部門終於在3天後回應了該貼文，表示正在修補該漏洞，並將儘速釋出更新版，也已通知所有的Linux用戶。