上周,一个名叫Adios Hola(Adios西班牙语中意为“再见”,Hola意思相当于英语中的Hello)的研究团队发布一份安全报告,指出在Hola VPN中存在的漏洞,可导致信息泄露、任意代码远程执行以及权限升级等问题。
FreeBuf百科:Hola VPN
Hola是一款可访问限制性内容的开放VPN,如访问那些受地理位置限制或被政府、企业及互联网服务提供商屏蔽的内容,并且服务免费。由于其可用于桌面、浏览器及安卓设备,一举成为VPN服务中的赢家。而且Hola浏览器扩展可实时解锁,Hola桌面app及安卓app可解锁内容并提高网速。
Hola VPN服务出现漏洞
Vectra Network安全公司在过去几周的时间内也发布了一份独立评估报告,指出Hola VPN服务进程中存在可将端流量引向既定目的的控制台(“zconsole”),可被用于针对性攻击中。获取控制台访问权限的威胁发动者可查看所有的运行进程并且终止他们的活动、在绕过杀毒检查的情况下下载文件并予以执行(或在后台执行或通过另外一个进程的令牌执行)。
上周研究人员指出,Hola火速推出更新修复VPN软件中的安全问题,但现在来看用户依然被暴露在攻击风险中。
一些漏洞已被修复
周一,Hola的首席执行官Vilenski宣布称公司致力于保护用户安全及业务的透明性,公布了修订方案并且解释了VPN网络如何运作。
公司表示,远程代码执行漏洞已被修复,并指出以攻击者控制的自变量启动内置VLC播放器的问题已被修复。同时采取的缓解措施还包括只允许来自hola.org的命令执行。这名代表还表示对自变量的限制将在本周末实施。
Vectra Networks的首席信息官认为,
“zconsole”的问题更加棘手,解决这个问题“如果不大幅重新设计Hola软件”是不可能完成的。
Adios团队的一名成员Slipstream称:
控制台依然存在所检查的软件版本中,尽管已经做出了修改并且这个组件现在更加难以访问。他证实称漏洞“部分已被修复”,这也就是说还有一些问题依然存在,他表示自己测试的是最新版本之前的版本。
风险依然存在
然而,Slipstream指出Hola VPN的设计中存在问题,可带来中间人攻击的风险。攻击者可以Hola用户的身份作为出口节点并在浏览会话中注入恶意iFrame,并以此指导渗透代码工具包。
另外的一种风险是一个恶意出口节点可以指导Hola用户通过并对仅在世界某些地方流行的视频流服务如Netflix实施钓鱼攻击。
Hola VPN在全球拥有4600万用户,虽然公司表示未曾受到相关恶意攻击报告,但Vectra给出证据显示VirusTotal中检测出包含Hola协议的五份恶意软件样本。Hola目前正努力修复问题并重新恢复使用者信心,并且计划着手改进软件安全。Hola已经推出一项漏洞现金奖励计划。此外,目前正在进行内部及外部安全审查。