伦里大片虫虫在线免费

一名安全研究人员发现了影响伦里大片虫虫在线免费客户端Linux版本的多个漏洞，这些漏洞可被用于远程代码执行和中间人攻击。

影响伦里大片虫虫在线免费 for Linux 1.3.5及以上版本的漏洞是在2022年12月1日发现并报告给领先的VPN提供商的。

2022年12月24日，供应商发布了1.4.0版本，部分修复了漏洞。 2023年2月22日，伦里大片虫虫在线免费发布1.4.1版本，完全修复了所有发现的漏洞。

然而，由于 Linux 版 伦里大片虫虫在线免费 客户端不会自动更新，用户需要手动下载并应用安全更新。

伪装攻击

第一个缺陷，也是第二个问题的基础，是CyberGhost API和VPN客户端之间的通信缺乏证书验证。 这可能导致客户端信任攻击者模仿供应商的API创建的非法服务器。 在这种情况下，攻击者可以捕获客户端与网络之间交换的所有数据包，从而实施中间人攻击。

"进行攻击的唯一前提是使客户端连接到非法API。 这一先决条件要求攻击者有能力成功实施DNS缓存中毒攻击，或在同一本地网络中实施ARP欺骗。 利用中间网络设备或DNS服务器的恶意ISP和黑客也处于重定向流量的绝佳位置。

– mmmds.pl

第二个问题涉及攻击者在利用前面描述的缺乏证书验证问题后在易受攻击设备上执行命令注入的能力。 在与虚假服务器建立连接时，客户端通过发出shell命令发送Wireguard配置文件，恶意服务器可通过命令注入有效载荷对此作出响应。 该有效载荷可以在受害者的机器上以root用户权限执行，从而使攻击者完全控制易受攻击的设备。

第三个也是最后一个问题是，攻击者可以通过滥用VPN客户端的一个辅助功能，更具体地说是它与操作系统的交互，来实现本地权限升级。 无权限用户可以修改客户端的配置文件（该文件位于所有用户均可访问的目录下），并注入可将其权限提升至root权限的命令。

研究人员还将视频发布到展示开发在他的文章中提到了这些问题，但对前两个漏洞只提供了有限的技术细节，以避免产生针对尚未打补丁用户的攻击浪潮。

对于无法升级网络幽灵VPN对于版本1.4.1的Linux客户端，建议将其连接类型从Wireguard切换到OpenVPN，这样可以缓解中间人和远程代码执行问题。

伪装类型 none

• 苹果iOS和macOS受绕过代码签名的新漏洞影响
• ExpressVPN vs 伦里大片虫虫在线免费
• 适用于Linux的VPN
• NordVPN vs CyberGhost
• 伦里大片虫虫在线免费评论