Nord VPN: personal na virtual na nagbibigay ng serbisyo ng pribadong network
Ang isang pagtanggi ng kahinaan sa serbisyo ay natagpuan sa bersyon ng Nord VPN 6.14.31 noong 30ikang Agosto, 2018. Ang kahinaan na ito ay natuklasan ni LORD (borna nematzadeh) na nagbigay din ng isang patunay ng konsepto para sa pagsasamantala. Ayon sa eksperimento ni LORD dito, ang pagsasamantala ay mayroon sa bersyon 6.14.31 ng Nord VPN at ito ay mapagsamantalahan sa operating system ng Windows 10.
Ayon sa PANGINOON, ang kahinaan ay pinagsamantalahan kapag ang python exploit code ay pinatakbo. Dapat buksan ang nord.txt file at ang mga nilalaman ng text file ay dapat kopyahin sa clipboard ng aparato. Susunod, ang aplikasyon ng Nord VPN ay dapat buksan at patakbuhin, pagpasok ng anumang di-makatwirang email address sa patlang ng username ng pahina ng pag-login at i-paste ang clipboard na kinopya ng mga nilalaman ng teksto ng file sa patlang ng password. Ang pagpindot sa enter ay sanhi ng pag-crash ng application, na hinihiling na tuluyan mong umalis sa application, i-refresh ito, at i-restart ito muli.
Ang isang label ng pagkakakilanlan ng CVE ay hindi pa nakatalaga sa kahinaan hanggang ngayon at hindi pa lumalabas ang balita mula sa vendor tungkol sa isyu. Walang mga diskarte sa pagpapagaan o advisories sa kasalukuyan upang maiwasan ang pagtanggi ng pag-crash ng serbisyo sa Nord VPN software maliban sa kamalayan ng buong landas ng patunay ng konsepto na ipinakita at pag-iwas sa mga hakbang na kinakailangan upang sadyang magdulot ng isang pagtanggi ng pagbagsak ng serbisyo.
Dahil sa mga detalye ng kahinaan, naniniwala ako na ang kahinaan ay bumagsak sa isang batayang marka ng 4 na humigit-kumulang sa mga tuntunin ng peligro. Mayroon itong isang lokal na vector ng pag-atake at mababang pagiging kumplikado ng pag-atake. Hindi rin kailangan ng kahinaan ang anumang mga pribilehiyo upang maipatupad o mangailangan ng anumang pakikipag-ugnayan ng gumagamit upang sumulong. Mukhang walang pagiging kompidensiyal o epekto sa integridad. Ang nakakaapekto lamang sa kadahilanan ay ang pagkakaroon ng application dahil sa pagtanggi ng pagbagsak ng serbisyo. Ang pagsasamantala na ito ay madaling maiiwasan at hindi magbibigay ng isang malaking panganib sa privacy o seguridad ng gumagamit; nakakaapekto lamang ito sa kaginhawaan dahil sa kakayahan nitong maging sanhi ng paghinto ng pagtugon ng aplikasyon.
Mga tag vpn
