PureVPN’nin Linux istemcilerinde, kullanıcıların VPN hizmetlerinden bekledikleri gizlilik korumalarını baltalayan kullanıcıların gerçek IPv6 adreslerini ortaya çıkaran kritik bir güvenlik açığı keşfedilmiştir.
Güvenlik açığı, Linux sistemlerinde hem grafik kullanıcı arayüzünü (GUI sürüm 2.10.0) hem de komut satırı arabirimini (CLI sürüm 2.0.1) etkiler, özellikle Ubuntu 24.04.3 LTS’de test edilir.
IPv6 Koruma Arızaları Gizlilik Riskleri Oluşturma
Birincil güvenlik açığı, kullanıcılar Wi-Fi bağlantılarını değiştirdiğinde veya sistemlerini askıya alma modundan devam ettirdiğinde meydana gelir.
Bu ağ durumu değişiklikleri sırasında PureVPN’nin istemcisi, önemli bir gizlilik sızıntısı oluşturarak uygun IPv6 korumalarını koruyamaz.
İnternet Kill Switch (IKS) etkin olan CLI modunda, istemci otomatik olarak yeniden bağlanır ve kullanıcılara “bağlı” bir durum rapor eder.
Ancak, perde arkasında, sistem, yönlendirici reklamları aracılığıyla varsayılan bir IPv6 rotası kazanır ve IPv6 trafiğinin VPN tünelini tamamen atlamasına izin verir.
IP6tables çıktı ilkesi varsayılan olarak kabul edilecek olduğundan, internet trafiği kullanıcı bilgisi olmadan korunan tünelin dışına akan devam eder.
GUI istemcisi daha da ilgili bir senaryo sunar. Bir bağlantı kesme algılandığında, arabirim IPv4 trafiğini düzgün bir şekilde engeller ve kullanıcıları uyarmak için bir “VPN oturumu bağlantısı kesilmiş” iletişim kutusu görüntüler.
Ne yazık ki, IPv6 işlevleri, kullanıcılar önemli bir güvenlik açığı penceresi bırakarak kullanıcılar manuel olarak yeniden bağlama düğmesini tıklayana kadar normal şekilde çalışmaya devam eder.
Güvenlik duvarı yapılandırması tehlikeye atılmış
IPv6 sızıntı sorununun ötesinde, PureVPN’nin bağlantı süreci kullanıcıların mevcut güvenlik duvarı yapılandırmalarını temelden tehlikeye atar.
Bir VPN bağlantısı oluştururken, istemci kullanıcının IPTable yapılandırmasını tamamen siler, UFW korumaları, Docker tarafından tanımlanan güvenlik politikaları dahil tüm özel kuralları kabul etmek ve yıkamak için giriş politikaları ayarlar.
En kritik olarak, kullanıcılar VPN hizmetinden bağlantısı kesildiğinde bu güvenlik duvarı değişiklikleri asla geri dönmez.
Bu, sistemlerin pureVPN kullandıktan sonra ağ tehditlerine bağlanmadan önce, doğrudan kullanıcı beklentileri ile çelişmekten ve yerel güvenlik duvarı korumalarını uygulama amacını yenmekten daha fazla maruz kaldığı anlamına gelir.
Bu güvenlik açıklarını keşfeden güvenlik araştırmacısı, güvenlik açığı açıklama programları aracılığıyla Ağustos 2025’in sonlarında PureVPN’nin güvenlik ekibine kapsamlı teknik raporlar ve gösteri videoları sundu.
İlk açıklamadan bu yana geçen üç hafta geçmesine rağmen, PureVPN bu kritik güvenlik sorunları hakkında hiçbir onay veya yanıt vermedi.
Bu güvenlik açıkları, kullanıcıların IPv6 özellikli web sitelerine göz atmalarına ve VPN bağlantıları tarafından korunmaya devam ettiklerine inanırken internet servis sağlayıcısının IPv6 adresleri aracılığıyla e-posta göndermelerine olanak tanıyan hemen gerçek dünya etkisine sahiptir.
IPv6 sızıntısı ve tehlikeye atılan güvenlik duvarı durumlarının birleşimi, PureVPN’nin kullanıcılara temel güvenlik vaatlerinde temel bir başarısızlığı temsil eder.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.