70% VPN-сервисов допускают утечку через расширения Chrome

Олег Иванов 03 Апреля 2018 - 16:43

...

70% VPN-сервисов допускают утечку через расширения Chrome

Специалисты проанализировали 15 VPN-сервисов, в результате чего выяснили, что 10 из них допускают DNS-утечки через соответствующие расширения для браузера Chrome. Проблема, как утверждают эксперты, связана с функцией Chrome под названием DNS Prefetching.

DNS Prefetching позволяет преобразовывать имена доменов до того, как пользователь попытается перейти по ссылке.

При использовании VPN-расширений браузер предоставляет два режима настройки прокси-соединений: fixed_servers и pac_script. В режиме fixed_servers расширение указывает узел прокси-сервера HTTPS/SOCKS, после чего все соединения будут проходить через прокси-сервер.

Режим pac_script пользуется скриптом PAC, позволяющим динамически изменять хост-сервер при различных условиях. Например, VPN-расширение может использовать сценарий PAC, который определяет, что пользователь посещает Netflix, а затем назначает прокси-сервер, оптимизированный для стриминговой передачи.

«Проблема же заключается в том, что DNS Prefetching продолжает работать, когда используется режим pac_script. Поскольку HTTPS не поддерживает DNS по протоколу SOCKS, все DNS-запросы будут проходить через систему DNS, что будет являться, по сути, утечкой», — пишут исследователи.

Эксперты приводят способ, с помощью которого можно проверить, уязвим ли ваш VPN-сервис:
Активируйте интересуемый плагин Chrome;
Перейдите в адресной строке к chrome://net-internals/#dns
Нажмите «Очистить кеш хоста» («clear host cache»);
Перейдите на любой сайт.

Список известных уязвимых сервисов на данный момент выглядит так:

Hola VPN
OperaVPN
TunnelBear
HotSpot Shield
Betternet
PureVPN
VPN Unlimited
ZenMate VPN
Ivacy VPN
DotVPN

Незатронутые проблемой утечки сервисы:

WindScribe
NordVPN
CyberGhost
Private Internet Access
Avira Phantom VPN

Чтобы защитить себя, выполните следующие шаги:

В адресную строку вставьте chrome://settings/:
Введите «подсказки» в строку поиска;
Отключите параметр «Использовать подсказки для завершения поисковых запросов и URL, вводимых в адресную строку», а также «Использовать подсказки для ускорения загрузки страниц».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.