端口失败VPN安全漏洞暴露您的真实IP地址

在虚拟专用网络(VPN)使用的协议中发现的漏洞允许攻击者公开预期受害者的真实IP地址。

在本周由VPN提供商完美隐私发布的安全咨询中，该公司表示，这个被称为"端口故障，"的漏洞会影响提供端口转发的VPN提供商，并且没有保护IP泄漏。

VPN被全世界的隐私意识所使用，并通过伪装一个人的真实位置来规避基于地理位置的内容限制。在那些用铁腕控制互联网接入的国家，VPN也是绕过审查制度的一种方式。使用vpn也增加了后斯诺登，因为我们中更多的人现在担心谁可能跟踪我们的在线活动。

当然，一个安全缺陷会使我们真正的IP地址打开，让所有人都能看到VPN的目的，完美的隐私所暴露的漏洞对于不知道该漏洞的VPN提供商来说可能是危险的。

VPN提供商保护自己的网络免受利用该漏洞的攻击，它说有几个步骤可以执行成功的攻击。

攻击者需要有一个与受害者相同的VPN提供者的活动帐户，还必须知道受害者的VPN退出IP地址，可以通过洪流客户端或通过引诱受害者访问恶意页面获得，并且必须设置端口转发。受害者是否也有端口转发（将流量重路由到不同的地址）活动与此无关。

然后，黑客连接到与受害者相同的服务器网关，激活端口转发，并等待直到受害者访问恶意网站地址，在那里他们的真实IP可以被刮擦。

"这里的关键问题是连接到他自己的VPN服务器的VPN用户将使用他的默认路由和他的真实IP地址,因为这对于VPN连接工作是必需的,"说。

"如果另一个用户(攻击者)在同一服务器上为其帐户启用了端口转发，则他可以通过欺骗他访问将该流量重定向到其控制下的端口的链接来找出同一VPN服务器上任何用户的真实IP地址。"

根据完美隐私，由于攻击的性质，所有VPN协议--如IPSec、OpenVPN和PPTP--以及所有操作系统都受到影响。

VPN提供商通过9个提供端口转发的VPN提供商测试了该漏洞。总共有5人易受攻击，其中包括私人互联网接入(PIA)、Ovpn.to和nVPN，它们在公开披露之前得到通知，并已解决了这一问题。然而，完美的隐私怀疑更多的公司受到影响。

PIA获得了完美的隐私，为披露提供了5,000美元的错误奖金。