，并向公众演示了攻击者如何通过在其恶意网站上发布漏洞代码来访问 Linux 版本 VPN 客户端的任何用户的真实IP

　　AtlasVPN Linux 客户端由两部分组成。管理连接的守护进程 (atlasvpnd) 和用户控制连接、断开连接和列出服务的客户端 (atlasvpn)。

　　客户端不通过本地套接字或任何其他安全方式进行连接，而是在端口 8076 上的本地主机上打开 API。它没有任何身份验证。

　　计算机上运行的任何程序（包括浏览器）都可以访问此端口。因此，任何网站上的恶意 Java 都可以向该端口发出请求并断开 VPN。如果它随后运行另一个请求，则会将用户的家庭 IP 地址泄漏到使用漏洞代码的任何网站。

　　以下代码演示了该问题。它可以上传到任何网络服务器。当访问该站点时，AtlasVPN 会断开连接并泄露 IP 地址。不用于非法目的。

　　“AtlasVPN 并不认真对待用户的安全搬瓦工vpn连接不上。他们的软件安全解决方案非常蹩脚，很难相信这是一个错误而不是后门。没有人能如此无能。”一位匿名专家批评该公司的做法。

　　该专家尝试联系AtlasVPN支持人员报告该漏洞，但没有收到回复。他认为，这表明该公司对客户安全的疏忽态度。

　　截至本新闻发布时，AtlasVPN 代表尚未对此事发表评论。建议所有 Linux 客户端用户在访问未经验证的站点时务必谨慎，甚至暂时更换 VPN 客户端，直至漏洞得到修复。