Redazione RHC : 22 septiembre 2025 21:12
Un investigador independiente llamado Andreas, quien gestiona el blog Anagogistis , ha descubierto graves vulnerabilidades en los clientes Linux de Pure VPN que comprometen el anonimato básico y la seguridad del tráfico. Los problemas afectan tanto a la versión gráfica (2.10.0) como a la de consola (2.0.1). Ambas se probaron en Ubuntu 24.04.3 LTS.
La principal vulnerabilidad surge porque, al reconectarse a la red Wi-Fi o al reactivar el sistema desde el modo de suspensión, se hace visible la dirección IPv6 real del usuario. En el cliente de consola con la función Internet Kill Switch habilitada, el servicio informa automáticamente de la reanudación de la conexión, pero durante este tiempo el sistema recibe rutas IPv6 mediante el anuncio de router, lo que provoca que los paquetes omitan el túnel VPN. Dado que la política ip6tables permanece en ACCEPT por defecto, el tráfico sale directamente del equipo.
El cliente gráfico presenta un riesgo aún mayor. Al perderse la conexión, bloquea IPv4 y muestra una notificación de pérdida de sesión, pero el tráfico IPv6 continúa fluyendo sin restricciones hasta que el usuario pulsa manualmente el botón Reconectar. Esto provoca un retraso considerable en la transmisión de datos a la red abierta de Internet.
Igualmente peligroso es el manejo de la configuración del firewall por parte del cliente . Al establecer una conexión VPN, borra por completo la configuración de iptables, establece INPUT en ACCEPT y elimina las reglas personalizadas, incluyendo UFW, Docker Chain y sus propias políticas de seguridad. Una vez finalizada la conexión VPN, estos cambios no se revierten, lo que deja el sistema más vulnerable que antes de la conexión.
El especialista que identificó los problemas envió informes detallados y videos de demostración a PureVPN a través del programa de divulgación de vulnerabilidades de la compañía a fines de agosto de 2025. Sin embargo, durante tres semanas, el servicio no respondió ni proporcionó a los usuarios información sobre los riesgos.
En la práctica, esto significa que los usuarios de clientes PureVPN Linux pueden acceder a sitios web compatibles con IPv6 o enviar correos electrónicos con la tranquilidad de que la VPN funciona, incluso si su dirección real ya ha sido revelada al proveedor . La presencia simultánea de una falla de IPv6 y reglas de firewall corruptas indica una violación fundamental de los principios fundamentales de seguridad en los que se basa la confianza en los servicios VPN.
RedazioneLa empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
18 de noviembre de 2025 – Tras horas de interrupciones generalizadas , el incidente que afectó a la red global de Cloudflare parece estar cerca de resolverse. La compañía anunció que impleme...
