VPN-сервисы играют важную роль в обеспечении конфиденциальности и безопасности пользователей в интернете. Однако даже такие популярные решения, как PureVPN, порой сталкиваются с серьезными проблемами, влияющими на надёжность защиты. Одной из последних обнаруженных уязвимостей является утечка IPv6-трафика, выявленная в Linux-клиентах PureVPN. Это пробуждает вопросы безопасности для пользователей, особенно в условиях часто меняющихся сетевых подключений. В данной статье мы подробно рассмотрим особенности выявленной уязвимости, причины её возникновения, рекомендации по минимизации рисков и последние обновления от разработчиков PureVPN.
Текущая ситуация связана с клиентскими версиями PureVPN для Linux - графическим интерфейсом v2.10.0 и консольным клиентом v2.0.1, работающими на Ubuntu 24.
04.3 LTS с ядром 6.8.0 и системой iptables-nft. Технически, проблема проявляется после сетевых переходов, таких как отключение и повторное подключение Wi-Fi или Ethernet, либо после выхода системы из спящего режима.
В этом ходе VPN-соединение автоматически восстанавливается, однако приоритетный IPv6-маршрут, устанавливаемый через Router Advertisements, не оказывается заблокированным или удалённым. По умолчанию политика ip6tables для исходящего трафика остаётся разрешающей, что ведёт к тому, что IPv6-пакеты начиная от пользователя направляются вне VPN-туннеля. Крайне важно понимать, что такая ситуация создаёт возможность раскрытия реального IPv6-адреса пользователя, позволяя сайтам и сервисам получать идентифицирующую информацию. В случае консольного клиента (CLI) при включённом функции Kill Switch (IKS) VPN-клиент сообщает о статусе "подключено", но IPv6-маршрут по-прежнему остаётся активным. В графическом интерфейсе (GUI) ситуация несколько иная - в момент сетевого разрыва появляется сообщение о том, что VPN-сессия отключена, а IPv4-трафик блокируется, но IPv6 всё ещё свободно передаётся.
При нажатии на кнопку "Переподключить" (Reconnect) VPN-соединение восстанавливается корректно, и утечка прекращается. Существенной подробностью является то, что в период утечки IPv6 можно получить доступ к сайтам с IPv6 приоритетом, а также использовать почтовые клиенты вроде Thunderbird с адресом, выделенным провайдером, что полностью нивелирует конфиденциальность. Восстановить нормальную защиту можно в обход автоматического переподключения либо вручную, потребовав от пользователя дополнительных действий. Для повторения данного эффекта достаточно сделать сетевой переход на устройстве, отключив и включив Wi-Fi или Ethernet. После возобновления соединения для CLI пользователь увидит, что VPN "подключён", но IPv6-маршрут и политика файрвола не изменились по отношению к IPv6-трафику.
В GUI на экране будет предупреждение и два варианта действий, из которых следует выбрать "Переподключить", чтобы избежать утечки. Помимо прямой угрозы утечки IPv6, наблюдается и вторая проблема, связанная с состоянием системного файрвола. При установлении VPN-соединения PureVPN меняет политики iptables, в частности устанавливая INPUT с ACCEPT вместо более жёстких условий, которые могли быть выставлены пользователем. Кроме того, существующие правила могут быть удалены или очищены, что приводит к потере специфичных настроек, например от UFW, Docker или пользовательских фильтров. После отключения VPN изменения не восстанавливаются автоматически, что оставляет систему в потенциально небезопасном состоянии.
Для пользователей, тщательно следящих за уровнем безопасности и соблюдением собственных правил фильтрации, такой эффект крайне нежелателен. В случае с TCP/IP стеком Linux, где политики и правила применяются гибко, подобные изменения могут привести к открытию нежелательных каналов и снижению эффективности контроля трафика. На практике это означает, что даже после выхода из VPN пользовательское устройство остаётся более уязвимым, чем до подключения к сервису. Рекомендации для конечных пользователей в текущей ситуации сводятся к ряду важных действий. В первую очередь при использовании CLI следует избегать опоры на автоматическое переподключение - лучше вручную завершать сессию и создавать новое соединение, что сбросит проблемное состояние.
Для GUI важно реагировать на сообщения о разрыве VPN, своевременно нажимая кнопку "Переподключить", чтобы исключить утечку IPv6-трафика. Также эксперты рекомендуют полностью отключить IPv6 на стороне операционной системы, если это не критично для работы приложений. Отключение IPv6 надёжно предотвращает любые возможные утечки, вызванные ошибками на уровне VPN-клиента. Для восстановления и сохранения пользовательских правил файрвола после работы с VPN адаптивно применяются инструменты резервного копирования и восстановления конфигураций iptables - iptables-save и iptables-restore. Но при этом стоит учитывать, что их использование может конфликтовать с динамическими изменениями системы и не учитывает действия в реальном времени.
Некоторые пользователи используют решения вроде iptables-persistent или UFW, которые автоматически восстанавливают состояние при загрузке машины, однако при отключении VPN эти системы не активируют автоматический возврат к предыдущему состоянию. Недавно обе обнаруженные уязвимости получили статус официальных CVE: CVE-2025-59691 для утечки IPv6 и CVE-2025-59692 для сброса правил файрвола. PureVPN публично подтвердил наличие проблем и опубликовал рекомендуемую информацию через официальный блог и Sicherheits Advisory. Компания пообещала выпуск обновлённых версий для Linux клиентов уже к середине октября 2025 года, что позволит устранить выявленные дефекты. В начале ноября 2025 года тесты новой версии PureVPN GUI v2.
11.0 продемонстрировали, что проблема визуальной утечки IPv6 значительно решена. Теперь при активном Kill Switch и выполнении сетевых переходов IPv6 и IPv4 трафик остаются заблокированными, предотвращая случайный выход данных вне туннеля. Условием возобновления интернет-подключения является только явное действие пользователя - повторное соединение или восстановление доступа в интерфейсе клиента. Подобные обновления подтверждают приверженность PureVPN безопасности, хотя выявленная уязвимость и показала, что даже у крупных VPN-провайдеров бывают важные системные пробелы.
Для пользователей Linux с активным использованием VPN критично регулярно проверять обновления клиентов и следовать рекомендациям по безопасной работе. Игнорирование предупреждений и автоматический переход к сетям может привести к риску раскрытия IP адресов и других данных. В целом этот инцидент служит важным напоминанием о необходимости комплексной безопасности и постоянного контроля над инструментами, которыми пользуются специалисты и рядовые пользователи. Особенно подчёркивается роль IPv6, который несмотря на значительный потенциал, часто остаётся слабым звеном в системах безопасности, если настройка и поддержка клиентов не на должном уровне. Эксперты советуют администрировать систему так, чтобы IPv6 был либо тщательно защищён, либо полностью изолирован, особенно в сочетании с VPN.
Специалисты безопасности настоятельно рекомендуют следить не только за самим VPN, но и за состоянием фаервола, поскольку излишняя либеральность в политиках может создать новые пути для атак или утечек. Развитие решения PureVPN и его оболочек обещает минимизировать такие риски в будущем благодаря обновлённым версиям и консультациям с экспертами. Пользователи должны внимательно изучать уведомления от провайдеров и применять патчи своевременно, чтобы сохранить надлежащий уровень конфиденциальности и защиты. Таким образом, несмотря на обнаруженные уязвимости, ситуация с PureVPN показывает зрелость рынка VPN, его готовность к быстрому реагированию на угрозы и открытость в предоставлении информации для пользователей. Однако владельцам Linux-систем рекомендуется сохранять осторожность, особенно при использовании новых или неофициальных версий клиентского ПО.
Важно помнить, что защита данных в интернет-пространстве - это комплекс мер, включающих постоянный мониторинг, настройку, обновление и обучение. IPv6-утечки и нарушение целостности файрвола - серьёзные сигналы о том, что в безопасности нет места пренебрежению, и только системный подход позволяет сохранять анонимность и защищённость в цифровом мире. .
