Компания ExpressVPN исправила недочет в своем клиенте для Windows, из-за которого трафик протокола удаленного рабочего стола (RDP) обходил туннель виртуальной частной сети (VPN), раскрывая реальные IP-адреса пользователей.
Одним из ключевых условий VPN является маскировка IP-адреса пользователя, что позволяет ему оставаться анонимным в сети, а в некоторых случаях и обходить цензуру. Неспособность сделать это является серьезной технической ошибкой для VPN-продукта.
ExpressVPN - ведущий поставщик услуг VPN, постоянно входящий в число лучших VPN-сервисов и используемый миллионами пользователей по всему миру. Он использует серверы, работающие только на оперативной памяти, которые не хранят данные пользователей, и придерживается политики отсутствия логов.
25 апреля 2025 года исследователь безопасности, известный под ником «Adam-X», сообщил об уязвимости в рамках программы «bug bounty» компании ExpressVPN, которая раскрывала RDP и другой TCP-трафик, передаваемый через порт 3389.
Проведя расследование, команда ExpressVPN обнаружила, что проблема была вызвана тем, что остатки отладочного кода, использовавшегося для внутреннего тестирования, были по ошибке включены в производственные сборки, в частности, с 12.97 (выпущенной четыре месяца назад) по 12.101.0.2-beta.
"Если пользователь устанавливал соединение с помощью RDP, этот трафик мог обойти VPN-туннель", - сообщается в заявлении ExpressVPN.
"Это не влияло на шифрование, но означало, что трафик от RDP-соединений не направлялся через ExpressVPN, как ожидалось".
"В результате наблюдатель, например, провайдер или кто-то в той же сети, мог увидеть не только то, что пользователь подключен к ExpressVPN, но и то, что он получает доступ к определенным удаленным серверам по RDP - информация, которая обычно защищена".
Патч был доступен в версии ExpressVPN 12.101.0.45, выпущенной 18 июня 2025 года.
Специалисты компании отмечают, что ошибка в системе безопасности не нарушает шифрование туннелей, а сценарии утечки информации затрагивают только тех, кто использует протокол удаленного рабочего стола (RDP), что, по их мнению, не представляет особого риска для их клиентов.
"Как уже говорилось выше, на практике эта проблема чаще всего затрагивала бы пользователей, активно использующих RDP - протокол, который обычно не используется обычными потребителями", - говорится в сообщении ExpressVPN.
"Учитывая, что пользовательская база ExpressVPN состоит преимущественно из индивидуальных пользователей, а не корпоративных клиентов, количество пострадавших пользователей, скорее всего, невелико".
RDP - это сетевой протокол Microsoft, позволяющий пользователям удаленно управлять системами Windows по сети, используемый ИТ-администраторами, удаленными работниками и предприятиями.
Тем не менее, пользователям рекомендуется обновить свои Windows-клиенты до версии 12.101.0.45, чтобы обеспечить максимальную защиту.
ExpressVPN заявляет, что усилит внутренние проверки сборки, чтобы предотвратить появление подобных ошибок в производстве в будущем, включая усиленную автоматизацию при тестировании разработки.
В прошлом году ExpressVPN столкнулась с другой проблемой, которая приводила к утечке DNS-запросов, когда пользователи включали функцию «туннелирования в слипте» в клиенте для Windows.
Эта функция была временно отключена до тех пор, пока исправление не будет реализовано в одном из будущих выпусков.
source: https://www.bleepingcomputer[.]com/...g-leaked-user-ips-in-remote-desktop-sessions/
Одним из ключевых условий VPN является маскировка IP-адреса пользователя, что позволяет ему оставаться анонимным в сети, а в некоторых случаях и обходить цензуру. Неспособность сделать это является серьезной технической ошибкой для VPN-продукта.
ExpressVPN - ведущий поставщик услуг VPN, постоянно входящий в число лучших VPN-сервисов и используемый миллионами пользователей по всему миру. Он использует серверы, работающие только на оперативной памяти, которые не хранят данные пользователей, и придерживается политики отсутствия логов.
25 апреля 2025 года исследователь безопасности, известный под ником «Adam-X», сообщил об уязвимости в рамках программы «bug bounty» компании ExpressVPN, которая раскрывала RDP и другой TCP-трафик, передаваемый через порт 3389.
Проведя расследование, команда ExpressVPN обнаружила, что проблема была вызвана тем, что остатки отладочного кода, использовавшегося для внутреннего тестирования, были по ошибке включены в производственные сборки, в частности, с 12.97 (выпущенной четыре месяца назад) по 12.101.0.2-beta.
"Если пользователь устанавливал соединение с помощью RDP, этот трафик мог обойти VPN-туннель", - сообщается в заявлении ExpressVPN.
"Это не влияло на шифрование, но означало, что трафик от RDP-соединений не направлялся через ExpressVPN, как ожидалось".
"В результате наблюдатель, например, провайдер или кто-то в той же сети, мог увидеть не только то, что пользователь подключен к ExpressVPN, но и то, что он получает доступ к определенным удаленным серверам по RDP - информация, которая обычно защищена".
Патч был доступен в версии ExpressVPN 12.101.0.45, выпущенной 18 июня 2025 года.
Специалисты компании отмечают, что ошибка в системе безопасности не нарушает шифрование туннелей, а сценарии утечки информации затрагивают только тех, кто использует протокол удаленного рабочего стола (RDP), что, по их мнению, не представляет особого риска для их клиентов.
"Как уже говорилось выше, на практике эта проблема чаще всего затрагивала бы пользователей, активно использующих RDP - протокол, который обычно не используется обычными потребителями", - говорится в сообщении ExpressVPN.
"Учитывая, что пользовательская база ExpressVPN состоит преимущественно из индивидуальных пользователей, а не корпоративных клиентов, количество пострадавших пользователей, скорее всего, невелико".
RDP - это сетевой протокол Microsoft, позволяющий пользователям удаленно управлять системами Windows по сети, используемый ИТ-администраторами, удаленными работниками и предприятиями.
Тем не менее, пользователям рекомендуется обновить свои Windows-клиенты до версии 12.101.0.45, чтобы обеспечить максимальную защиту.
ExpressVPN заявляет, что усилит внутренние проверки сборки, чтобы предотвратить появление подобных ошибок в производстве в будущем, включая усиленную автоматизацию при тестировании разработки.
В прошлом году ExpressVPN столкнулась с другой проблемой, которая приводила к утечке DNS-запросов, когда пользователи включали функцию «туннелирования в слипте» в клиенте для Windows.
Эта функция была временно отключена до тех пор, пока исправление не будет реализовано в одном из будущих выпусков.
source: https://www.bleepingcomputer[.]com/...g-leaked-user-ips-in-remote-desktop-sessions/