Nord VPN: personlig virtuell privat nätverksleverantör
Ett förnekande av tjänstesårbarhet hittades i Nord VPN-version 6.14.31 den 30thaugusti 2018. Denna sårbarhet upptäcktes av LORD (borna nematzadeh) som också gav ett bevis på konceptet för exploateringen. Enligt Lords experiment med det finns exploateringen i version 6.14.31 av Nord VPN och den kan utnyttjas i Windows 10-operativsystemet.
Enligt LORD utnyttjas sårbarheten när Python-exploateringskoden körs. Nord.txt-filen måste öppnas och innehållet i textfilen måste kopieras till enhetens urklipp. Därefter måste Nord VPN-applikationen öppnas och köras, ange vilken godtycklig e-postadress som helst i användarnamnsfältet på inloggningssidan och klistra in innehållet i urklippets kopierade textfil i lösenordsfältet. Genom att trycka på enter kraschar applikationen, vilket kräver att du stänger programmet helt, uppdaterar det och startar om det igen.
En CVE-identifieringsetikett har ännu inte tilldelats sårbarheten och nyheter har inte kommit fram från säljaren om problemet. Det finns för närvarande inga begränsningstekniker eller rådgivning för att undvika förnekande av tjänstkrasch i Nord VPN-programvaran än att vara medveten om den fullständiga spåren av beviset som presenteras och undvika de steg som krävs för att medvetet orsaka en förnekelse av tjänstkrasch.
Med tanke på detaljerna i sårbarheten tror jag att sårbarheten faller till en baspoäng på 4 ungefär när det gäller risk. Den har en lokal attackvektor och låg attackkomplexitet. Sårbarheten behöver inte heller några behörigheter för att utföra eller kräva någon användarinteraktion för att gå vidare. Det verkar inte finnas någon konfidentialitet eller integritetspåverkan. Den enda faktorn som påverkas är programmets tillgänglighet på grund av förnekande av tjänstkrasch. Detta utnyttjande är lätt att undvika och utgör inte någon betydande risk för användarens integritet eller säkerhet; det påverkar bara bekvämligheten på grund av dess förmåga att få applikationen att sluta svara.
Taggar vpn
