חוקר אבטחה חשף פגמים בלקוח לינוקס של PureVPN שיכולים לחשוף את כתובות ה- IP האמיתיות של המשתמשים ולהחליש את ההגנות על חומת האש.
על פי PureVPN, הפגמים מוגבלים ל- Linux Gui V2.10.0 ולינוקס CLI V.2.0.1. פלטפורמות אחרות, כולל Windows, MacOS, Android ו- iOS, אינן מושפעות.
PureVPN, שנכלל בכמה ממדריכי ה- VPN הטובים ביותר, הבטיח טלאים לתקן את הבעיה באמצע אוקטובר.
איך התגלה הדליפה?
החוקרת אנגוגיסטיס דיווחה ב- 17 בספטמבר באמצעות הבלוג שלהם כי אפליקציית לינוקס של PureVPN הדליפה את התעבורה IPv6 בתנאים מסוימים ואיפסה את כללי חומת האש מבלי להחזיר אותם אחר כך – הנושא התגלה לראשונה בסוף אוגוסט.
על פי Anagogistis, בדיקות באובונטו 24.04.3 עם גרעין 6.8 הראו כי הלקוח לא הצליח לחסום חיבורי IPv6, כלומר ה- IP של המשתמש בפועל יכול לחמוק גם כשהוא מחובר ל- VPN.
בנוסף, האפליקציה החליפה את כללי חומת האש הקיימים בעת ההשקה, אך לא החזירה אותם לאחר הניתוק. זה הותיר מערכות מושפעות פחות מוגנות מאשר לפני שהתחברו ל- VPN.
Anagogistis פרסמה שני סרטונים ביוטיוב המדגימים את הפגיעויות בפעולה.
תסתכל על
מדוע דליפות IPv6 הן בעיה
מטרת הליבה של VPN היא להסוות את כתובת ה- IP שלך ולהשאיר את התנועה מוצפנת. אם תעבורת IPv6 עוקפת את המנהרה, אתרים ושירותים מקוונים עשויים עדיין לראות את המיקום האמיתי שלך. למשתמשים מודעים לפרטיות, זה מביס את הנקודה להשתמש ב- VPN מלכתחילה.
IPv6 היא מערכת כתובת האינטרנט החדשה יותר שנועדה להחליף את IPv4, ורשתות רבות תומכות כעת בשניהם. בעוד שהתקנות IPv4 בלבד נפוצות, דליפות IPv6 קשות יותר למשתמשים יומיומיים לשים לב מכיוון שלעתים קרובות חיבורים נופלים בשקט. זה הופך את הפגם מסוג זה למסוכן במיוחד, מכיוון שמישהו עשוי להאמין שהם מוגנים לחלוטין כאשר הם לא.
נושאי חומת האש מרכיבה את הסיכון. על ידי היחלשות הגנות מערכת, VPN שנועד להוסיף הגנה יכול להשאיר במכוון מכשירים חשופים לאחר השימוש. עבור משתמשי לינוקס המסתמכים על כללי חומת אש קפדניים לניהול תנועה (בין אם לצורך סיבוב, עבודה מרחוק או אבטחת שרתים), זה מפלגה רצינית.
כיצד הגיב PureVPN לדליפות ה- IPv6?
PureVPN הכיר בפומבי את הבעיות בייעוץ אבטחה ב -19 בספטמבר.
תיקון מתוכנן לשחרור עד אמצע אוקטובר 2025, עם לקוחות לינוקס מעודכנים כי:
- חסום כראוי תנועה של IPv6 או הוסף מתג Kill של IPv6.
- ודא כי כללי חומת האש משוחזרים לאחר ניתוק.
- שפר את הבדיקה למניעת סוגיות דומות בעתיד.
בינתיים, PureVPN ממליץ על דרכים לעקיפת הבעיה כמו השבתת IPv6 באופן ידני, להגיש מחדש את כללי חומת האש לאחר ניתוק, או אילוץ חיבורים IPv4 בלבד.
דליפות VPN אינן חדשות. במהלך השנים החוקרים חשפו דליפות DNS, דליפות IPv6 ופגמים אחרים על פני מספר ספקים. בדיקות עצמאיות בודקות לעתים קרובות נושאים אלה, וזו הסיבה ששירותים המפרסמים תכונות כמו "הגנת דליפות" ומתג הרוג אמין נחשבים אמינים יותר.
משתמשי לינוקס מתמודדים עם אתגרים ייחודיים מכיוון שאפליקציות VPN מעוצבות לרוב עם Windows ו- MacOS בראש. שילוב חומת אש בפרט יכול להשתנות באופן נרחב, ולא כל הספקים בוחנים היטב את התפלגויות לינוקס. מקרה זה מדגיש את חשיבותה של שקיפות הן מ- VPNs והן ממשיכות בדיקה מקהילת האבטחה.
מה לעשות אם אתה מושפע מההדלפות
אם אתה משתמש ב- PureVPN ב- Linux, בדוק את גרסת הלקוח שלך. אם אתה בבנייה שנפגעו, שקול את הצעדים הבאים עד לשחרור תיקון:
- השבת את ה- IPv6 ברמת המערכת כדי למנוע תנועה לעקוף את המנהרה.
- שיחזר ידנית את כללי חומת האש שלך לאחר ניתוק ה- VPN.
- השתמש בחיבורים IPv4 בלבד במידת האפשר.
- בדוק את ההתקנה שלך עם כלי דליפת IP מקוון כדי לאשר את ה- VPN שלך עובד כצפוי.
- שקול לעבור באופן זמני לאפליקציית PureVPN אחרת או לספק אחר אם אתה תלוי מאוד באבטחת לינוקס.
- צפו בעדכון הלקוחות של PureVPN באוקטובר והתקנו אותו ברגע שהוא זמין.
PureVPN אומר כי התיקונים שלה יתייחסו הן להתנהגות הדליפה של IPv6 והן בחומת האש, והחברה התחייבה לחזק את תהליך הגילוי שלה כדי לטפל בדוחות עתידיים בצורה יעילה יותר.
הצהרת אחריות
אנו בודקים ובודקים שירותי VPN בהקשר של שימושים פנאי משפטיים. לדוגמא: 1. גישה לשירות ממדינה אחרת (בכפוף לתנאים של אותו שירות). 2. הגנה על האבטחה המקוונת שלך וחיזוק הפרטיות המקוונת שלך בחו"ל. איננו תומכים או מתיר את השימוש הבלתי חוקי או זדוני בשירותי VPN. צריכת תוכן פיראטי שמשולם לא מאושר ואינו מאושר על ידי פרסום עתידי.
