Redazione RHC : 22 septiembre 2025 21:12
Un investigador independiente llamado Andreas, quien gestiona el blog Anagogistis , ha descubierto graves vulnerabilidades en los clientes Linux de Pure VPN que comprometen el anonimato básico y la seguridad del tráfico. Los problemas afectan tanto a la versión gráfica (2.10.0) como a la de consola (2.0.1). Ambas se probaron en Ubuntu 24.04.3 LTS.
La principal vulnerabilidad surge porque, al reconectarse a la red Wi-Fi o al reactivar el sistema desde el modo de suspensión, se hace visible la dirección IPv6 real del usuario. En el cliente de consola con la función Internet Kill Switch habilitada, el servicio informa automáticamente de la reanudación de la conexión, pero durante este tiempo el sistema recibe rutas IPv6 mediante el anuncio de router, lo que provoca que los paquetes omitan el túnel VPN. Dado que la política ip6tables permanece en ACCEPT por defecto, el tráfico sale directamente del equipo.
El cliente gráfico presenta un riesgo aún mayor. Al perderse la conexión, bloquea IPv4 y muestra una notificación de pérdida de sesión, pero el tráfico IPv6 continúa fluyendo sin restricciones hasta que el usuario pulsa manualmente el botón Reconectar. Esto provoca un retraso considerable en la transmisión de datos a la red abierta de Internet.
Igualmente peligroso es el manejo de la configuración del firewall por parte del cliente . Al establecer una conexión VPN, borra por completo la configuración de iptables, establece INPUT en ACCEPT y elimina las reglas personalizadas, incluyendo UFW, Docker Chain y sus propias políticas de seguridad. Una vez finalizada la conexión VPN, estos cambios no se revierten, lo que deja el sistema más vulnerable que antes de la conexión.
El especialista que identificó los problemas envió informes detallados y videos de demostración a PureVPN a través del programa de divulgación de vulnerabilidades de la compañía a fines de agosto de 2025. Sin embargo, durante tres semanas, el servicio no respondió ni proporcionó a los usuarios información sobre los riesgos.
En la práctica, esto significa que los usuarios de clientes PureVPN Linux pueden acceder a sitios web compatibles con IPv6 o enviar correos electrónicos con la tranquilidad de que la VPN funciona, incluso si su dirección real ya ha sido revelada al proveedor . La presencia simultánea de una falla de IPv6 y reglas de firewall corruptas indica una violación fundamental de los principios fundamentales de seguridad en los que se basa la confianza en los servicios VPN.
RedazioneRecientemente publicamos un artículo en profundidad sobre el «robo del siglo» en el Louvre , en el que destacamos cómo la seguridad física ( acceso, control ambiental, vigilancia ) está ahora es...
Los usuarios que buscan optimizar al máximo el espacio en Windows han batido un nuevo récord. El entusiasta @XenoPanther ha logrado reducir el tamaño de una copia en ejecución de Windows 7 a tan s...
El informe financiero de Microsoft indica que OpenAI podría haber perdido 12.000 millones de dólares en su último trimestre fiscal. Un gasto en el informe de ganancias de Microsoft (517,81, -7,95, ...
A partir del martes 12 de noviembre de 2025, entrarán en vigor nuevas disposiciones de la Autoridad Reguladora de las Comunicaciones Italiana (AGCOM), que exigirán un sistema de verificación de eda...
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
