Уязвимость Atlas VPN раскрывает реальные IP-адреса пользователей Linux

В Atlas VPN обнаружена уязвимость нулевого дня, которая может раскрывать злоумышленникам реальные IP-адреса пользователей Linux. Обнаруженная проблема представляет опасность для всех версий VPN, в том числе и свежей 1.0.3.

Проблему выявил пользователь Reddit  с ником Educational-Map-8145. Обнаруженная проблема позволяет использовать Linux API для получения реального IP-адреса. Уязвимость реализуется через создание скрытой формы, которая автоматически размещается в JavaScript и выполняет соединение со ссылкой 127.0.0.1:8076/connection/stop.

Данный API эндпоинт автоматически прекращает все активные сессии Atlas VPN и снова делает IP-адрес клиента открытым. После разрыва соединения реальный IP-адрес пользователя загружается на api.ipify.org. В результате использование VPN становится теряет смысл, так как злоумышленник может получить данные о реальном физическом местоположении клиента Atlas VPN.