Atlas VPN의 리눅스 클라이언트에 있는 제로데이 취약점으로 인해 사용자의 실제 IP 주소가 웹사이트를 방문하는 것만으로 유출되는 문제가 존재한다고 합니다. 특히, Atlas VPN의 최신 버전인 1.0.3에는 인증 없이 CLI에 명령을 내릴 수 있는 API가 존재하며, 이를 이용해 VPN 세션을 끊는 등의 동작을 수행할 수 있습니다. 이 문제는 Reddit 사용자 'Educational-Map-8145'가 PoC 공격을 통해 사용자의 실제 IP 주소를 공개할 수 있다는 것을 처음 발견해 보여주었습니다.
이 취약점은 Amazon의 사이버 보안 엔지니어인 Chris Partridge가 동영상을 통해 확인하였으며, 특히 웹 브라우저 상에서 CORS(Cross-Origin Resource Sharing) 보호를 우회하는 방법에 대해 설명했습니다. 일반적으로 동일 출처 정책은 다른 도메인으로의 요청을 차단하나, 폼 제출을 이용하여 이를 우회하는 방법이 가능하며, 이를 통해 Atlas VPN 연결을 끊는 URL에 접근할 수 있습니다.
Reddit 사용자는 이에 대하여 Atlas VPN에 보고하였으나 회신을 받지 못하였고, 이후 폭로했습니다. 이에 대해, Atlas VPN측은 이 문제에 대한 사과 및 가능한 한 빠르게 패치를 배포하겠다는 의사를 밝혔습니다. 따라서, 이 취약점이 미해결 상태인 리눅스 클라이언트 사용자들은 치명적인 상황을 방지하기 위해 다른 VPN 솔루션을 고려해야만 합니다.
요약
- Atlas VPN의 리눅스 클라이언트에 존재하는 제로데이 취약점으로 인해 사용자의 실제 IP 주소가 유출될 수 있는 문제가 발견되었다.
- 이 취약점은 웹 브라우저에서 CORS를 우회하며, Atlas VPN을 끊는 URL에 접근할 수 있어 사용자의 IP주소를 밝히는 등의 악용 가능성이 있다.
- Atlas VPN사를 고지하였으나 회신을 받지 못한 Reddit 사용자는 결국 이 문제를 공개하였다.
- Atlas VPN은 문제의 심각성을 인지하고 가능한 한 빠르게 패치를 배포하겠다고 밝혔다.
- 아직 패치되지 않은 리눅스 클라이언트 사용자들은 다른 VPN 솔루션을 고려해야 한다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.