Ведущий блога Anagogistis, обнаружил серьёзные уязвимости в Linux-клиентах PureVPN, которые подрывают базовые гарантии анонимности и защиты трафика. Проблемы затрагивают как графическую версию (2.10.0), так и консольную (2.0.1). Обе были протестированы на Ubuntu 24.04.3 LTS.
Главная брешь связана с тем, что при переподключении к Wi-Fi или выходе системы из спящего режима реальный IPv6-адрес пользователя становится видимым. В консольном клиенте с активированной функцией Internet Kill Switch сервис автоматически сообщает о восстановлении соединения, но в это время система получает маршруты IPv6 через Router Advertisements, и пакеты начинают уходить в обход VPN-туннеля. Так как политика ip6tables по умолчанию остаётся в состоянии ACCEPT, трафик свободно покидает компьютер напрямую.
GUI-клиент добавляет ещё больше риска. При разрыве соединения он корректно блокирует IPv4 и выводит уведомление о потере сессии, но при этом IPv6-трафик продолжает передаваться без ограничений до тех пор, пока пользователь вручную не нажмёт кнопку Reconnect. Таким образом, остаётся значительный временной промежуток, когда данные уходят в открытый интернет.
Не менее опасен и способ, которым клиент работает с настройками брандмауэра.
При установке VPN-соединения он полностью очищает существующую конфигурацию iptables, выставляет INPUT в ACCEPT и удаляет пользовательские правила, включая UFW, docker-цепочки и собственные политики безопасности. После завершения работы VPN эти изменения не откатываются, оставляя систему более уязвимой, чем до подключения.
Описание проблемы, в конце августа 2025 года было передано в PureVPN, с детальными отчётами и демонстрационными видеозаписями через программу раскрытия уязвимостей компании. Однако за три недели сервис никак на них не отреагировал.
На практике это означает, что владельцы Linux-клиента PureVPN могут заходить на сайты с поддержкой IPv6 или отправлять электронную почту, будучи уверенными в работе VPN, хотя их настоящий адрес уже раскрыт провайдеру.
>>> Подробности
