ExpressVPN javítás
Az ExpressVPN kiadott egy javítást Windows platformra, amely megszünteti azt a súlyos hibát, amikor a Remote Desktop Protocol (RDP) forgalom – vagy más TCP kommunikáció a 3389-es porton – nem került a VPN mögé, hanem közvetlenül hagyta el a rendszert. A hiba a 12.97-től a 12.101.0.2‑beta verzióig terjedő verziókban volt jelen, és egy fejlesztéshez készült debug-kód véletlenszerű bekerülése okozta, amelyet egy kutató (Adam‑X) tárt fel 2025. április 25-én.
A szivárgás nem veszélyeztette a titkosítási kulcsok biztonságát, viszont lehetővé tette, hogy külső hálózatok – például az internetszolgáltató vagy a helyi hálózati adminisztrátor – láthatták a felhasználó valós IP-címét és az RDP-hozzáférés célpontját. Ez aláásta a VPN alapvető ígéretét, miszerint minden forgalom elrejthető a felhasználó kilétére vonatkozóan.
Az ExpressVPN rendkívül gyorsan reagált, öt nap alatt, június 18-án kiadta a 12.101.0.45-ös verziót, amely már tartalmazza a javítást. A hibát bejelentő kutató röviddel később megerősítette a probléma megoldását, a jelentést pedig június végén lezárták. A cég hangsúlyozta, hogy bár a hiba csak a ritka RDP-forgalomra vonatkozott – amely inkább vállalati környezetben fordul elő –, még a legkisebb kockázatot is elfogadhatatlannak tartják.
A potenciális kockázat elméletileg meghaladta az RDP használatát, bármely olyan forgalom – például HTTP vagy más TCP – átjuthatott a VPN-en kívülről, ha azt 3389-en továbbították. Ez lehetővé tette volna célzott támadások végrehajtását, például webhelyszennyezéseket vagy drive-by támadásokat, amelyek valódi IP-címet fednek fel. Mindezek ellenére az ExpressVPN szakemberei szerint a valós kihasználás esélye rendkívül alacsony.
A jövőbeni hasonló hibák megelőzése érdekében az ExpressVPN szigorított belső minőség- és build‑ellenőrzési folyamatokat vezetett be. Több automatizált teszt segítségével kiszűrik a debug-funkciók véletlen bekerülését. A cég továbbra is együttműködik saját bug bounty közösségével, hogy hasonló hiányosságok időben felszínre kerüljenek
