ExpressVPN, Windows uygulamasında bazı uzak Masaüstü Protokolü (RDP) trafiğinin VPN tünelini atlamasına ve kullanıcıların IP adreslerini açığa çıkarmasına izin veren bir güvenlik sorununun kullanıcılarını uyardı. Bu güvenlik açığı öncelikle, tipik tüketicilerden ziyade kurumsal ortamlarda kullanılan RDP bağlantıları için standart bağlantı noktası olan 3389 bağlantı noktasına yönlendirilen TCP trafiğini etkiledi.
Sorun, bir güvenlik araştırmacısının ipucundan sonra keşfedildi ve ExpressVPN’nin mühendislerini acil bir düzeltme yayınlamasını istedi. Şirkete göre, “bir güvenlik araştırmacısının belirli bir uzak masaüstü trafiğinin nasıl yönlendirildiği hakkında bir ipucunu takiben”, sürüm 12 Windows uygulamasına bir güvenlik güncellemesi kullandılar. Bu güncelleme, sürüm 12.101.0.45, sadece güvenlik açığını düzeltmedi, aynı zamanda diğer genel iyileştirmeler ve rutin hata düzeltmelerini de içeriyordu.
Expressvpn güvenlik açığının doğası ve nasıl ele alındığı
Sorun, başlangıçta uygulamanın üretim sürümleriyle, özellikle 12.97 ila 12.101.0.2-beta sürümlerinden yanlışlıkla gönderilen dahili testlere yönelik hata ayıklama koduna kadar izlendi. Bu hata ayıklama kodu, TCP bağlantı noktası 3389 üzerindeki trafiğin VPN tünelinin dışına yönlendirilmesine neden oldu. ExpressVPN, “Hata Bounty topluluğumuzun yardımıyla, TCP bağlantı noktası 3389 üzerindeki trafiğin beklendiği gibi VPN tüneli aracılığıyla yönlendirilmediği Windows uygulamamızın bazı son sürümlerinde bir sorunu belirledik ve düzelttik.”
Bu güvenlik açığı, bir kullanıcı RDP aracılığıyla bağlandığında, trafiğinin olması gerektiği gibi VPN yönlendirmesi tarafından korunmadığı anlamına geliyordu. Trafiğin kendisinin şifrelenmesi sağlam kalırken, sızıntı, kullanıcının ExpressVPN’ye bağlandığını ve RDP aracılığıyla belirli uzaktan sunuculara eriştiğini görmek için İnternet Servis Sağlayıcıları (ISS) veya yerel ağ kulak misafiri olan gözlemcilerin, normalde VPN tarafından korunan bilgiler.
Kusur, güvenlik araştırmacısı Adam-X tarafından 25 Nisan’da ExpressVPN’nin Bug Bounty platformu aracılığıyla sorumlu bir şekilde bildirildi. Şirket, sorunu saatler içinde teyit ederek ve beş gün sonra bir düzeltme yayınladı. Sabit sunum tüm dağıtım kanallarında tamamlandı ve araştırmacı kararı kısa süre sonra doğruladı.
Etki ve riskleri değerlendirmek
Sorun sadece RDP oturumları değil, 3389 numaralı bağlantı noktası üzerindeki herhangi bir TCP trafiğini teorik olarak etkileyebilse de, tipik ExpressVPN kullanıcısının bu güvenlik açığıyla karşılaşması olası değildir. Şirket, “bu senaryonun çoğu kullanıcı için nadir olduğunu (RDP’nin öncelikle kurumsal ortamlarda kullanılır)” olduğunu vurguladı ve ExpressVPN’nin kullanıcı tabanının esas olarak kurumsal müşterilerden ziyade bireysel tüketicilerden oluştuğu göz önüne alındığında, potansiyel olarak etkilenen kullanıcıların sayısının muhtemelen küçük olduğu.
Kötü niyetli bir aktörün güvenlik açığından yararlanması için, hatanın farkında olmaları ve belki de bir kullanıcıyı tehlikeye atılmış bir web sitesini ziyaret etmek için kandırarak veya bir sürüş saldırısı yürüterek 3389 bağlantı noktasına tetiklemenin bir yolunu bulmaları gerekir. Bu gibi durumlarda bile, ExpressVPN, “maruziyetin kullanıcının gerçek IP adresi ile sınırlı olacağını açıkladı. Göz atma etkinliklerini ortaya çıkarmadı veya RDP oturumları da dahil olmak üzere herhangi bir trafiğin şifrelemesini tehlikeye atmadı.”
Çözüm
Benzer sorunları önlemek için, ExpressVPN, “daha önce geliştirilmede test ayarlarını işaretlemek ve kaldırmak için otomatik testleri geliştirmek”, insan hatasını azaltmak ve hata ayıklama kodunun üretime ulaşmamasını sağlamak da dahil olmak üzere dahili test süreçlerini geliştirmektedir.
Kullanıcılara, tam korumayı korumak ve 3389 bağlantı noktası üzerindeki RDP de dahil olmak üzere tüm trafiğin VPN tünelinden uygun şekilde yönlendirilmesini sağlamak için en son uygulama sürümüne güncellemeleri tavsiye edilir.