PureVPN «подставил» пользователей Linux. Сервис оставляет открытой одну из главных брешей в безопасности.

leer en español

PureVPN Ubuntu Linux IPv6 VPN уязвимость безопасность
PureVPN «подставил» пользователей Linux. Сервис оставляет открытой одну из главных брешей в безопасности.
PureVPN Ubuntu Linux IPv6 VPN уязвимость безопасность

Привычное чувство безопасности оказалось лишь грамотно выстроенной иллюзией.

image

Независимый исследователь по имени Андреас, ведущий блог Anagogistis, обнаружил серьёзные уязвимости в Linux-клиентах PureVPN, которые подрывают базовые гарантии анонимности и защиты трафика. Проблемы затрагивают как графическую версию (2.10.0), так и консольную (2.0.1). Обе были протестированы на Ubuntu 24.04.3 LTS.

Главная брешь связана с тем, что при переподключении к Wi-Fi или выходе системы из спящего режима реальный IPv6-адрес пользователя становится видимым. В консольном клиенте с активированной функцией Internet Kill Switch сервис автоматически сообщает о восстановлении соединения, но в это время система получает маршруты IPv6 через Router Advertisements, и пакеты начинают уходить в обход VPN-туннеля. Так как политика ip6tables по умолчанию остаётся в состоянии ACCEPT, трафик свободно покидает компьютер напрямую.

Графический клиент добавляет ещё больше риска. При разрыве соединения он корректно блокирует IPv4 и выводит уведомление о потере сессии, но при этом IPv6-трафик продолжает передаваться без ограничений до тех пор, пока пользователь вручную не нажмёт кнопку Reconnect. Таким образом, остаётся значительный временной промежуток, когда данные уходят в открытый интернет.

Не менее опасен и способ, которым клиент работает с настройками межсетевого экрана. При установке VPN-соединения он полностью очищает существующую конфигурацию iptables, выставляет INPUT в ACCEPT и удаляет пользовательские правила, включая UFW, docker-цепочки и собственные политики безопасности. После завершения работы VPN эти изменения не откатываются, оставляя систему более уязвимой, чем до подключения.

Специалист, выявивший проблемы, в конце августа 2025 года передал в PureVPN детальные отчёты и демонстрационные видеозаписи через программу раскрытия уязвимостей компании. Однако за три недели сервис никак не отреагировал и не предоставил пользователям информацию о рисках.

На практике это означает, что владельцы Linux-клиента PureVPN могут заходить на сайты с поддержкой IPv6 или отправлять электронную почту, будучи уверенными в работе VPN, хотя их настоящий адрес уже раскрыт провайдеру. Одновременное наличие утечки IPv6 и повреждённых правил брандмауэра говорит о фундаментальном нарушении базовых принципов защиты, на которых строится доверие к VPN-сервисам.