Поделиться
Positive Technologies помогла укрепить защиту приложения для подключения к VPN Tunnelblick
Команда разработчиков Tunnelblick, графического пользовательского интерфейса одного из самых популярных VPN-сервисов в мире, устранила дефект безопасности, найденный экспертом PT SWARM Егором Филатовым. Из-за уязвимости под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже удалившие Tunnelblick. В случае атаки нарушитель мог бы повысить привилегии в системе и похитить данные. Компании, чьи сотрудники используют приложение на рабочих устройствах, могли бы столкнуться с риском развития атаки в своей ИТ-инфраструктуре.
Tunnelblick — открытый графический интерфейс для OpenVPN (VPN-решения, занимающего второе место по популярности в мире). В июле Tunnelblick добавили в избранное 3,1 тыс. пользователей, на веб-сервисе GitHub имеется более 350 копий репозитория.
Уязвимость PT-2025-25226 (CVE-2025-43711) получила оценку 8,1 балла из 10 по шкале CVSS 3.1, что соответствует высокому уровню опасности. Ошибка затронула все версии Tunnelblick начиная с 3.5beta06 и заканчивая 6.1beta2. При выполнении всех необходимых условий злоумышленник мог бы повысить привилегии на компьютере жертвы. Если бы для атаки было использовано корпоративное устройство, нарушитель мог бы закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иным способом навредить бизнес-процессам.
«Для успешной атаки нарушителю потребовалась бы учетная запись пользователя, имеющего возможность изменять параметры macOS. Так как права администрирования выдаются по умолчанию, стать жертвой мог практически кто угодно, — отметил Егор Филатов, младший специалист группы исследования безопасности мобильных приложений, Positive Technologies. — Еще одно условие: эксплуатация уязвимости была бы возможна только в том случае, если бы Tunnelblick был не полностью удален с компьютера, например, просто отправлен в корзину. В таком случае на устройстве остался бы компонент, действующий с повышенными привилегиями. Им и мог бы воспользоваться злоумышленник».
В случае неполного удаления приложения нарушитель мог бы разместить на устройстве жертвы вредоносную программу, использующую привилегированный компонент Tunnelblick. При следующем включении компьютера привилегии злоумышленника были бы автоматически повышены: он получил бы права на выполнение любых операций.
Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновления безопасности. Пользователям следует обновить Tunnelblick до версии 7.0, 7.1beta01 или более поздней. Если загрузить исправление не удается, вендор и эксперт Positive Technologies советуют тем, кто продолжает использовать графический интерфейс, защититься одним из двух способов: не удалять Tunnelblick.app из папки /Applications или входить в систему как стандартный пользователь без прав администрирования.
Владельцам компьютеров Apple, которым больше не нужен Tunnelblick, команда проекта советует удалить приложение с помощью встроенного в него деинсталлятора. Для этого нужно открыть окно «Детали VPN» и найти панель «Утилиты». Если там нет кнопки «Удалить», можно воспользоваться отдельным деинсталлятором Tunnelblick или любым другим. Тем, кто перенес приложение в корзину, рекомендуется удалить файл, путь к которому выглядит как /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist. Альтернативный вариант — заново установить любую версию Tunnelblick, а затем удалить ее в соответствии с рекомендациями.
Узнавать об актуальных недостатках безопасности можно на портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
Поделиться
Короткая ссылка
