Исследователи кибербезопасности выявили серьезную уязвимость в популярном VPN-клиенте Tunnelblick для macOS, которая может предоставить злоумышленникам полный контроль над системой пользователя. Особенность этой угрозы заключается в том, что эксплуатация возможна даже после удаления приложения в корзину, что делает миллионы пользователей потенциально уязвимыми.
Техническая характеристика уязвимости
Обнаруженная специалистом Positive Technologies Егором Филатовым уязвимость получила идентификаторы CVE-2025-43711 и PT-2025-25226 с критической оценкой 8,1 балла из 10 по шкале CVSS 3.1. Проблема затрагивает широкий спектр версий Tunnelblick — от 3.5beta06 до 6.1beta2, что охватывает практически все активные инсталляции приложения.
Tunnelblick представляет собой графический интерфейс для работы с OpenVPN на платформе macOS и пользуется популярностью среди пользователей, заботящихся о приватности и безопасности интернет-соединений. Выявленная уязвимость создает парадоксальную ситуацию, когда инструмент для защиты данных сам становится источником угрозы.
Механизм эксплуатации и условия атаки
Для успешной реализации атаки злоумышленнику необходимо выполнение двух ключевых условий. Во-первых, наличие учетной записи пользователя с правами изменения параметров macOS. Поскольку права администрирования выдаются по умолчанию в большинстве домашних установок, это условие выполняется для подавляющего большинства пользователей.
Второе условие связано с особенностями удаления приложений в macOS. Многие пользователи просто перетаскивают приложения в корзину, не подозревая о том, что системные компоненты остаются активными. В случае с Tunnelblick на устройстве сохраняется привилегированный компонент, который и становится вектором атаки.
Последствия успешной эксплуатации
При использовании данной уязвимости атакующий может разместить вредоносное программное обеспечение, которое автоматически получит повышенные привилегии при следующем запуске системы. Это предоставляет злоумышленнику возможность выполнения любых операций в системе, включая:
• Установку дополнительного вредоносного ПО
• Кражу конфиденциальных данных
• Модификацию системных настроек
• Создание скрытых каналов доступа
Меры по устранению угрозы
Разработчики Tunnelblick оперативно отреагировали на уведомление об уязвимости и выпустили исправленные версии. Настоятельно рекомендуется обновление до версии 7.0, 7.1beta01 или более поздней для полного устранения угрозы.
Альтернативные методы защиты
Для пользователей, которые по техническим причинам не могут немедленно установить обновление, эксперты предлагают временные меры защиты:
• Не удалять файл Tunnelblick.app из директории /Applications
• Использовать учетную запись обычного пользователя без административных привилегий
• При необходимости удаления вручную очистить файл /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist
Правильная процедура удаления
Для пользователей, планирующих полное удаление Tunnelblick, важно использовать встроенный деинсталлятор. Процедура включает открытие окна «Детали VPN», переход в панель «Утилиты» и использование кнопки «Удалить». При отсутствии встроенного инструмента рекомендуется применение специализированных деинсталляторов.
Данный инцидент наглядно демонстрирует важность правильного удаления приложений в операционных системах и необходимость регулярного мониторинга безопасности даже в программном обеспечении, предназначенном для защиты. Пользователям следует не только своевременно устанавливать обновления безопасности, но и уделять внимание корректным процедурам управления программным обеспечением в своих системах.
