ExpressVPN đã tiết lộ một lỗ hổng trong ứng dụng của chính họ trên Windows, và trong một số trường hợp cụ thể, có thể khiến thông tin kết nối của người dùng bị rò rỉ.

Thông tin chi tiết về lỗ hổng

Lỗ hổng này được chuyên gia bảo mật Adam-X phát hiện thông qua chương trình bug bounty của ExpressVPN. Cách thức khai thác của lỗ hổng này là thông qua giao thức Remote Desktop Protocol (RDP) và các lưu lượng TCP khác thông qua cổng 3389. Mặc dù lỗi này không ảnh hưởng đến việc mã hóa dữ liệu, nhưng nó có nguy cơ tiết lộ địa chỉ IP thực của người dùng và địa chỉ của các kết nối RDP.

Các kỹ sư của ExpressVPN đã truy tìm nguyên nhân sự cố, và câu trả lời đó là do debug code, thứ mà ban đầu được dùng để thử nghiệm nội bộ, nhưng đã vô tình được đưa vào các bản chính thức của ExpressVPN phiên bản Windows ver 12 (cụ thể là giữa các phiên bản 12.97 và 12.101.0.2-beta).

Code debug này đã không định tuyến lưu lượng TCP cổng 3389 qua VPN tunnel như thiết kế, mà cho phép các kết nối đó bỏ qua nó. Do đó, khi người dùng sử dụng các phiên RDP đến các máy chủ từ xa hoặc gửi bất kỳ lưu lượng TCP nào qua cổng 3389 thì nó sẽ kết nối trực tiếp, thay vì thông qua VPN.

Khắc phục lỗ hổng

Sau khi nhận được báo cáo vào ngày 25 tháng 4, nhóm bảo mật của ExpressVPN đã xác nhận và xử lý sự cố trong vòng vài giờ. Đến ngày 30 tháng 4, họ đã phát hành Phiên bản 12.101.0.45 của Windows Client, xóa debug code sai và khôi phục định tuyến chính xác của lưu lượng cổng 3389 qua VPN tunnel.

ExpressVPN nhấn mạnh rằng người dùng thông thường khó có thể bị ảnh hưởng, vì RDP chủ yếu được sử dụng trong các tình huống truy cập từ xa chuyên biệt hoặc doanh nghiệp. Hơn nữa, việc khai thác lỗ hổng này đòi hỏi kẻ tấn công không chỉ phải biết về lỗi mà còn phải thiết kế lưu lượng truy cập qua cổng 3389 - có thể bằng cách lừa người dùng truy cập vào một trang web độc hại hoặc chiếm đoạt một trang web hợp pháp để phân phối nội dung tự động.

Ngay cả trong các cuộc tấn công có chủ đích như vậy, kẻ tấn công cũng sẽ chỉ thu thập được địa chỉ IP thực của người dùng; không thể giải mã luồng dữ liệu hoặc lịch sử duyệt web.

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số biện pháp nhằm phòng chống nguy cơ từ các vụ tấn công nhắm vào lỗ hổng này:

• Ngay lập tức cập nhật phiên bản phần mềm mới nhất: Hãy cập nhật ExpressVPN Windows Client lên phiên bản 12.101.0.45 hoặc mới hơn để đảm bảo rằng lưu lượng RDP và các kết nối qua cổng 3389 được định tuyến an toàn qua VPN tunnel.

• Kiểm tra lại cấu hình hệ thống: Đối với các tổ chức hoặc cá nhân thường xuyên sử dụng RDP, cần kiểm tra cấu hình tường lửa và chính sách truy cập từ xa nhằm đảm bảo rằng các kết nối không bị rò rỉ ra ngoài VPN trong các phiên bản trước.

• Giám sát lưu lượng mạng bất thường: Tăng cường giám sát để phát hiện các lưu lượng truy cập bất thường qua cổng 3389, đặc biệt là từ các nguồn không xác định. Đây có thể là dấu hiệu của các nỗ lực khai thác hoặc hoạt động dò quét từ kẻ tấn công.

• Nâng cao nhận thức bảo mật cho người dùng: Cảnh báo người dùng không nên nhấp vào các liên kết lạ, truy cập vào các trang web không rõ nguồn gốc hoặc tải về phần mềm từ những nguồn không đáng tin cậy — đây là những kênh có thể được kẻ tấn công lợi dụng để khai thác lỗ hổng.

Tham khảo

• After a tip, ExpressVPN updates its Windows app to strengthen protections

• ExpressVPN Windows Client Flaw Could Expose User Information