Redazione RHC : 22 septiembre 2025 21:12
Un investigador independiente llamado Andreas, quien gestiona el blog Anagogistis , ha descubierto graves vulnerabilidades en los clientes Linux de Pure VPN que comprometen el anonimato básico y la seguridad del tráfico. Los problemas afectan tanto a la versión gráfica (2.10.0) como a la de consola (2.0.1). Ambas se probaron en Ubuntu 24.04.3 LTS.
La principal vulnerabilidad surge porque, al reconectarse a la red Wi-Fi o al reactivar el sistema desde el modo de suspensión, se hace visible la dirección IPv6 real del usuario. En el cliente de consola con la función Internet Kill Switch habilitada, el servicio informa automáticamente de la reanudación de la conexión, pero durante este tiempo el sistema recibe rutas IPv6 mediante el anuncio de router, lo que provoca que los paquetes omitan el túnel VPN. Dado que la política ip6tables permanece en ACCEPT por defecto, el tráfico sale directamente del equipo.
El cliente gráfico presenta un riesgo aún mayor. Al perderse la conexión, bloquea IPv4 y muestra una notificación de pérdida de sesión, pero el tráfico IPv6 continúa fluyendo sin restricciones hasta que el usuario pulsa manualmente el botón Reconectar. Esto provoca un retraso considerable en la transmisión de datos a la red abierta de Internet.
Igualmente peligroso es el manejo de la configuración del firewall por parte del cliente . Al establecer una conexión VPN, borra por completo la configuración de iptables, establece INPUT en ACCEPT y elimina las reglas personalizadas, incluyendo UFW, Docker Chain y sus propias políticas de seguridad. Una vez finalizada la conexión VPN, estos cambios no se revierten, lo que deja el sistema más vulnerable que antes de la conexión.
El especialista que identificó los problemas envió informes detallados y videos de demostración a PureVPN a través del programa de divulgación de vulnerabilidades de la compañía a fines de agosto de 2025. Sin embargo, durante tres semanas, el servicio no respondió ni proporcionó a los usuarios información sobre los riesgos.
En la práctica, esto significa que los usuarios de clientes PureVPN Linux pueden acceder a sitios web compatibles con IPv6 o enviar correos electrónicos con la tranquilidad de que la VPN funciona, incluso si su dirección real ya ha sido revelada al proveedor . La presencia simultánea de una falla de IPv6 y reglas de firewall corruptas indica una violación fundamental de los principios fundamentales de seguridad en los que se basa la confianza en los servicios VPN.
RedazioneMás de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
La cita, “Definitivamente construiremos un búnker antes de lanzar AGI”, que inspiró el artículo, fue atribuida a un líder de Silicon Valley, aunque no está claro exactamente a quién se refer...
En Estados Unidos, una campaña de botnets coordinada a gran escala tiene como objetivo servicios basados en el Protocolo de Escritorio Remoto (RDP). La escala y la estructura organizativa de esta cam...
La semana pasada, Oracle advirtió a sus clientes sobre una vulnerabilidad crítica de día cero en su E-Business Suite (CVE-2025-61882), que permite la ejecución remota de código arbitrario sin aut...
Cuando Nick Turley se unió a OpenAI en 2022 para liderar el equipo de ChatGPT, se le encomendó la tarea de transformar la investigación empresarial en un producto comercial. Ha cumplido esta misió...
