Nord VPN: доставчик на лични виртуални частни мрежи
Открита е уязвимост на услугата в Nord VPN версия 6.14.31 на 30тиот август 2018 г. Тази уязвимост беше открита от ЛОРД (borna nematzadeh), който също предостави доказателство за концепцията за експлоата. Според експериментите на LORD с него, експлойтът съществува във версия 6.14.31 на Nord VPN и е експлоатационен в операционната система Windows 10.
Според ЛОРД уязвимостта се експлоатира при стартиране на експлойт кода на python. Файлът nord.txt трябва да бъде отворен и съдържанието на текстовия файл трябва да бъде копирано в клипборда на устройството. След това приложението Nord VPN трябва да се отвори и стартира, като въведе произволен имейл адрес в полето за потребителско име на страницата за вход и постави копираното съдържание на копирания текстов файл в полето за парола. Натискането на enter води до срив на приложението, което изисква да излезете изцяло от приложението, да го опресните и да го рестартирате отново.
Към този момент уязвимостта не е присвоена на CVE идентификационен етикет и новините също не са се появили от доставчика по отношение на проблема. Понастоящем няма никакви техники или препоръки за смекчаване, за да се избегне срив в отказа на услуга в софтуера Nord VPN, освен да се знае пълната следа от представеното доказателство за концепция и да се избегнат стъпките, необходими за умишлено причиняване на отказ на услугата.
Като се имат предвид подробностите за уязвимостта, аз вярвам, че уязвимостта пада при базов резултат 4 приблизително по отношение на риска. Той има локален вектор на атака и ниска сложност на атаката. Уязвимостта също не се нуждае от никакви привилегии, за да се изпълни, или изисква каквото и да е взаимодействие на потребителя, за да продължи напред. Изглежда няма никакво въздействие върху поверителността или целостта. Единственият засегнат фактор е наличността на приложението поради отказ на услугата. Този експлойт е лесно избежим и не представлява значителен риск за поверителността или сигурността на потребителя; това засяга само удобството поради способността му да накара приложението да спре да реагира.
Етикети vpn
