Luka w ExpressVPN na Windowsa ujawniała prawdziwe adresy IP użytkowników

ExpressVPN to znany dostawca usług VPN, z których korzystają miliony użytkowników na całym świecie. Według materiałów reklamowych firmy jednym z wyróżników, który przyczynił się do dużej popularności, jest korzystanie z serwerów działających wyłącznie w pamięci RAM, które nie przechowują danych użytkowników i przestrzeganie polityki braku logów. Jest to dość popularne stwierdzenie wśród dostawców tego typu usług. Radzimy jednak do wszelkich sloganów marketingowych podchodzić z należytym dystansem.

Usługa VPN bez zapisu danych i logów po stronie dostawcy. Brzmi jak stuprocentowa anonimowość w sieci, prawda? No tylko, że nie (cóż za zdziwienie). 25 kwietnia 2025 r. badacz bezpieczeństwa znany jako „Adam-X” zgłosił lukę w ramach programu bug bounty ExpressVPN, która powodowała ujawnianie ruchu TCP na porcie 3389 (w szczególności protokołu RDP).

Po przeprowadzeniu dochodzenia zespół ExpressVPN ustalił, że problem wynikał z pozostawionego kodu debugującego używanego do testów wewnętrznych, który przez pomyłkę znalazł się w wersjach produkcyjnych – konkretnie od wersji 12.97 (wydanej cztery miesiące wcześniej) do 12.101.0.2-beta.

W wyniku tego błędu, jeśli użytkownik nawiązał połączenie za pomocą protokołu RDP, ten ruch mógł ominąć tunel VPN. Nie miało to wpływu na szyfrowanie, ale oznaczało, że ruch z połączeń RDP był widoczny dla innych.

RDP (ang. Remote Desktop Protocol) to sieciowy protokół Microsoftu, który umożliwia zdalne zarządzanie systemami Windows przez sieć. Używają go głównie administratorzy IT, pracownicy zdalni oraz… cyberzbóje.

„W rezultacie obserwator – na przykład dostawca Internetu lub ktoś znajdujący się w tej samej sieci – mógł zobaczyć nie tylko, że użytkownik korzysta z ExpressVPN, ale również że łączy się z konkretnymi zdalnymi serwerami przez RDP – informacje, które normalnie byłyby chronione.” – czytamy w komunikacie Express VPN.

Czy taką podatność można było wykorzystać do ataku? Tak, taki właśnie scenariusz pokazał badacz, który odkrył lukę. Ponieważ wyciek dotyczył każdego ruchu TCP przesyłanego przez port 3389 – nie tylko RDP – można było przeprowadzić ukierunkowany atak, w którym wykorzystywano inne protokoły (jak żądania HTTP) przez ten port, aby ujawnić prawdziwy adres IP użytkownika. Cyberprzestępcy mogliby do tego doprowadzić np. nakłaniając użytkownika do odwiedzenia złośliwej strony lub przejmując popularną witrynę w celu przeprowadzenia ataku typu drive-by, gdy ofiara jest połączona z VPN.

W zeszłym roku ExpressVPN miał do czynienia z innym problemem, który powodował wycieki zapytań DNS, gdy użytkownicy włączali funkcję „split tunneling” w kliencie Windows. Funkcja ta została tymczasowo wyłączona do czasu wdrożenia poprawki w przyszłej aktualizacji.

Podatność, którą opisujemy dzisiaj została już załatana. Firma zaznacza, że problem nie wpłynął na szyfrowanie tunelu VPN, a scenariusze wycieku dotyczyły wyłącznie użytkowników korzystających z protokołu RDP, co uznaje za niskie ryzyko dla swoich klientów (ciekawe dlaczego). Mimo to zaleca się, aby użytkownicy zaktualizowali swojego klienta Windows do wersji 12.101.0.45 dla pełnej ochrony.

~Natalia Idźkowska