CVE-2020-15590

Cliente VPN Private Internet Access (PIA) para Linux, versões 1.5 a 2.3

Uma vulnerabilidade no cliente VPN Private Internet Access (PIA) para Linux permite que invasores remotos contornem o mecanismo de desligamento de emergência (kill switch) da VPN e leiam informações confidenciais por meio da interceptação do tráfego de rede. Isso ocorre quando o kill switch está configurado para bloquear todo o tráfego de rede de entrada e saída, mas aplicativos com privilégios podem continuar enviando e recebendo tráfego de rede se net.ipv4.ip forward tiver sido habilitado nos parâmetros do kernel do sistema. Por exemplo, um contêiner Docker em execução em um host com a VPN desativada e o kill switch ativado pode continuar usando a internet, potencialmente vazando o IP do host.

Para o Private Internet Access (PIA) VPN Client para Linux, versões 1.5 a 2.3, considere atualizar para a versão 2.4.0 ou posterior, que habilita o roteamento baseado em políticas por padrão para direcionar automaticamente todos os pacotes encaminhados para a interface VPN. Como solução alternativa temporária, considere desativar a opção net.ipv4.ip forward nos parâmetros do kernel do sistema para impedir que aplicativos privilegiados contornem o mecanismo do kill switch.