Nord VPN: provedor de serviços de rede privada virtual pessoal
Uma vulnerabilidade de negação de serviço foi encontrada no Nord VPN versão 6.14.31 no dia 30ºde agosto de 2018. Esta vulnerabilidade foi descoberta por LORD (borna nematzadeh) que também forneceu uma prova de conceito para o exploit. De acordo com a experiência da LORD com ele, o exploit existe na versão 6.14.31 do Nord VPN e pode ser explorado no sistema operacional Windows 10.
De acordo com o LORD, a vulnerabilidade é explorada quando o código de exploração do python é executado. O arquivo nord.txt deve ser aberto e o conteúdo do arquivo de texto deve ser copiado para a área de transferência do dispositivo. Em seguida, o aplicativo Nord VPN deve ser aberto e executado, inserindo qualquer endereço de e-mail arbitrário no campo de nome de usuário da página de login e colando o conteúdo do arquivo de texto copiado da área de transferência no campo de senha. Pressionar enter causa o travamento do aplicativo, exigindo que você feche totalmente o aplicativo, atualize-o e reinicie-o novamente.
Uma etiqueta de identificação CVE ainda não foi atribuída à vulnerabilidade e não surgiram notícias do fornecedor em relação ao problema. Não existem técnicas de mitigação ou recomendações no momento para evitar a falha de negação de serviço no software Nord VPN, a não ser estar ciente de todo o rastro da prova de conceito apresentada e evitar as etapas necessárias para causar deliberadamente uma falha de negação de serviço.
Dados os detalhes da vulnerabilidade, acredito que a vulnerabilidade cai em uma pontuação básica de 4 aproximadamente em termos de risco. Possui um vetor de ataque local e baixa complexidade de ataque. A vulnerabilidade também não precisa de nenhum privilégio para ser executada ou requer qualquer interação do usuário para avançar. Não parece haver nenhum impacto de confidencialidade ou integridade. O único fator afetado é a disponibilidade do aplicativo devido à falha de negação de serviço. Essa exploração é facilmente evitável e não representa um risco significativo para a privacidade ou segurança do usuário; afeta apenas a conveniência devido à sua capacidade de fazer com que o aplicativo pare de responder.
Tag vpn
