Introduzione
Recentemente, Fluid Attacks ha segnalato una vulnerabilità di escalation dei privilegi locali (CVE-2026-2638) attraverso una divulgazione responsabile, che colpisce le versioni del sito web X-VPN per macOS dalla 77.0 alla 77.5. Abbiamo preso sul serio il rapporto, riprodotto internamente il problema e rilasciato la correzione nella versione 77.5.1 del sito web X-VPN per macOS. La nostra revisione interna ha confermato che il problema non era nel tunnel VPN di X-VPN, nel protocollo di crittografia, nel sistema di account o nell’infrastruttura del server, e che nessun’altra piattaforma o versione di X-VPN al di fuori dell’intervallo del sito web macOS interessato è stata colpita. Non sono state osservate sfruttamenti in natura. Gli utenti delle versioni interessate dovrebbero aggiornare il prima possibile.
Nello spirito di trasparenza e responsabilità, condivideremo i dettagli della vulnerabilità, il suo ambito e le azioni che abbiamo intrapreso.
Table of Contents
Le nostre principali scoperte
CVE-2026-2638 è una vulnerabilità di escalation dei privilegi locali che colpisce il sito web X-VPN per macOS (la versione standalone di macOS scaricata da xvpn.io) nelle versioni 77.0-77.5. Un problema di escalation dei privilegi locali significa che, in determinate condizioni locali, un utente o un processo con permessi limitati sullo stesso dispositivo potrebbe ottenere accesso a livello di amministratore. X-VPN ha risolto questo problema nella versione 77.5.1 e successive del sito web X-VPN per macOS.
La vulnerabilità ha avuto origine nella funzione Download Protection della versione del sito X-VPN per macOS (trovata in Sicurezza → Protezione del browser → Protezione dei download), che scansiona i file scaricati, mette in quarantena quelli che sembrano non sicuri e li ripristina su richiesta. Poiché la messa in quarantena e il ripristino dei file comportano la scrittura in posizioni protette dalle autorizzazioni di sistema di macOS, parti di questa funzione vengono eseguite con autorizzazioni a livello di amministratore.
CVE-2026-2638 era un difetto nel modo in cui questa parte a livello di amministratore della funzionalità verificava l’identità del file durante le fasi di scansione, quarantena e ripristino, il che poteva consentire a un programma locale malevolo di reindirizzare un’operazione privilegiata a un file diverso da quello previsto. Una spiegazione dettagliata è fornita in What Is CVE-2026-2638.
Questo non è stato un attacco remoto alla rete e non ha influenzato il tunnel VPN di X-VPN, il protocollo di crittografia, il sistema degli account o l’infrastruttura del server. La versione di X-VPN per il Mac App Store e X-VPN per Windows, iOS, Android, Linux, Router, TV, Estensione Chrome, Chromebook e Console di Gioco non sono state influenzate.
Gli utenti che eseguono le versioni del sito web X-VPN per macOS 77.0-77.5 dovrebbero aggiornare alla versione 77.5.1 o successiva ora.
I fatti chiave sono riassunti di seguito:
Articolo | Dichiarazione ufficiale |
|---|---|
CVE ID | CVE-2026-2638 |
Stato | Fisso |
Versioni interessate | X-VPN versione del sito macOS 77.0–77.5 |
Versione fissa | X-VPN versione del sito macOS 77.5.1 e successive |
Versione non influenzata | X-VPN versione Mac App Store/ Windows/ iOS/ Android/ Linux/ Router/ TV/ Estensione Chrome/ Chromebook/ Console di gioco |
Tipo di vulnerabilità | Escalazione locale dei privilegi |
Severità | CVSS v4.0 punteggio 7.3, Alto |
Stato di sfruttamento | Sulla base dei dati attualmente disponibili, non siamo a conoscenza di alcuna sfruttamento in natura di questo problema; non sono state ricevute segnalazioni da parte degli utenti correlate. |
Azione dell’utente | Aggiorna la versione del sito web X-VPN macOS alla versione 77.5.1 e successive. |
Cos’è CVE-2026-2638?
Per spiegare come CVE-2026-2638 potrebbe essere sfruttato, è utile prima esaminare come funziona normalmente la Protezione Download.
La versione del sito web di X-VPN per macOS presenta la funzione di protezione dei download che segue un processo in tre fasi: scansiona i nuovi file scaricati, mette in quarantena i file che sembrano sospetti e li ripristina quando viene richiesta un’azione di ripristino. Per identificare quale file sta elaborando in ciascuna fase, la funzione tiene traccia del file in base alla sua posizione sul Mac: il suo percorso file. La vulnerabilità derivava da questo: la funzione si fidava del percorso file da solo per continuare a puntare allo stesso file in tutte e tre le fasi, senza verificare nuovamente in modo indipendente il contenuto effettivo del file.
In un uso normale, questa è un’assunzione equa, i percorsi dei file di solito non cambiano tra le operazioni. Ma sotto due condizioni specifiche, questa assunzione potrebbe essere sfruttata:
1
2
La prima condizione solleva una domanda naturale: da dove verrebbe un tale programma malevolo in primo luogo? Questo merita di essere affrontato brevemente, perché la risposta mostra anche cosa è e cosa non è responsabile CVE-2026-2638.
Da dove proviene il programma malevolo
Un programma malevolo potrebbe finire su un dispositivo attraverso uno dei mezzi abituali, ad esempio, aprendo un’email di phishing, scaricando e eseguendo software da una fonte non affidabile, o installando un’applicazione di terze parti compromessa. Questi percorsi di infezione iniziali sono indipendenti da CVE-2026-2638 stesso.
Su macOS, i programmi normalmente vengono eseguiti con i permessi dell’utente che li ha avviati. Un programma malevolo installato attraverso questi canali partirebbe quindi con solo permessi di utente normale, non potrebbe, da solo, modificare posizioni di sistema protette o intraprendere azioni a livello di amministratore. Ottenere accesso a livello di amministratore richiede tipicamente che l’utente lo autorizzi esplicitamente (ad esempio tramite un prompt per la password). È per questo che le vulnerabilità di escalation dei privilegi locali sono importanti: offrono agli attaccanti un modo per aggirare questo ostacolo.
Le due lacune che hanno reso possibile l’attacco
Gap 1: Il Gap di Tempistica (CWE-367: Condizione di Gara Tempo di Controllo Tempo di Utilizzo)
- Download Protection controlla un file in una fase e agisce su di esso in una fase successiva. C’è un breve momento tra questi due eventi. In quel momento, un programma malevolo, utilizzando solo i permessi di modifica dei file che ogni utente ha già, potrebbe sostituire il file originale con un file diverso. Download Protection eseguirebbe quindi il suo passaggio privilegiato sul file sostituito, non sul file che aveva controllato.
Gap 2: Il Gap del Link Simbolico (CWE-59: Risoluzione Inadeguata del Link Prima dell’Accesso al File)
- macOS consente agli utenti di creare quello che è essenzialmente un collegamento a un altro file, un “collegamento simbolico”. Sembra e si comporta come un file normale, ma quando qualsiasi programma lo apre, il sistema reindirizza automaticamente a ciò a cui il collegamento punta.
La vulnerabilità era che Download Protection non controllava se il file che stava per gestire fosse effettivamente un collegamento a un’altra posizione. Un programma malevolo poteva piantare un tale collegamento dove Download Protection stava per agire, e farlo puntare a un file importante altrove nel sistema. Download Protection, che opera con permessi a livello di amministratore, avrebbe quindi eseguito inconsapevolmente la sua operazione su quel file, anche se quel file non doveva mai essere toccato.
Perché questo ha portato a un’escalation dei privilegi
In entrambi i casi, il programma malevolo non ha guadagnato direttamente nuovi permessi. Quello che ha fatto è stato reindirizzare un’operazione privilegiata legittima, eseguita da Download Protection, a un file che il programma malevolo altrimenti non avrebbe avuto la possibilità di modificare. Ingannando Download Protection per scrivere in una posizione protetta dal sistema per suo conto, il programma malevolo poteva indirettamente causare modifiche che normalmente solo i processi a livello di amministratore sono autorizzati a fare.
Questo è ciò che ha reso CVE-2026-2638 un’escalation locale dei privilegi: non rubando l’accesso a livello di amministratore, ma ingannando un’operazione legittima a livello di amministratore a fare qualcosa che non era mai destinata a fare.
In pratica, ciò significa che il programma malevolo potrebbe apportare modifiche al comportamento a livello di sistema del dispositivo che dovrebbero richiedere l’autorizzazione dell’amministratore.
Cosa non è CVE-2026-2638
- Non una violazione dei server X-VPN
- Non è una vulnerabilità nel tunnel VPN, nel protocollo di crittografia, nel sistema di account o nell’infrastruttura del server.
- Non è un attacco remoto, richiede accesso locale a bassa privilegio al dispositivo.
- Non applicabile ad altre piattaforme o alla versione dell’App Store
Come l’abbiamo risolto
La versione 77.5.1 di X-VPN per macOS rafforza il flusso di lavoro di ripristino dei file di protezione download. I principali miglioramenti includono:
1. Controlli di coerenza dell’identità del file
Quando un file scaricato viene scansionato dal livello di protezione, l’impronta del contenuto del file viene ora registrata. Se in seguito il file deve essere messo in quarantena, X-VPN verifica nuovamente se il contenuto attuale del file corrisponde ancora a quello scansionato.
Se il file è stato sostituito, modificato o comunque cambiato dopo la scansione, il processo di quarantena viene rifiutato.
2. Validazione dell’integrità della quarantena
Dopo che un file entra in quarantena, le informazioni di integrità sul suo stato di quarantena vengono registrate. Prima che un utente ripristini il file, X-VPN verifica nuovamente che il file in quarantena sia ancora nel suo stato di quarantena registrato.
Se il file in quarantena è stato sostituito o modificato, l’operazione di ripristino è bloccata.
3. I collegamenti simbolici non sono accettati nelle operazioni critiche
Il flusso di lavoro della protezione dei download ora rifiuta di scansionare o ripristinare file di collegamento simbolico. Questo impedisce agli attaccanti di reindirizzare le operazioni di quarantena o ripristino a file non intenzionati tramite manipolazione del percorso.
In generale, questa correzione non si basa più solo sui percorsi dei file per identificare il file su cui si sta operando. Invece, X-VPN ora utilizza controlli di integrità dei contenuti a più fasi per verificare che i file non siano stati sostituiti o modificati durante le fasi di scansione, quarantena e ripristino. Blocca anche la reindirizzazione dei collegamenti simbolici che altrimenti potrebbero causare operazioni di ripristino privilegiate su posizioni di file non intenzionate.
Comprendere la gravità
CVE-2026-2638 è stato valutato con un punteggio base CVSS v4.0 di 7.3 (Alto), con la stringa del vettore:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Common Vulnerability Scoring System) è il framework standard del settore per valutare la gravità delle vulnerabilità di sicurezza. Secondo FIRST, l’organizzazione che mantiene lo standard CVSS, CVSS misura quanto grave potrebbe essere una vulnerabilità se sfruttata con successo, non quanto sia probabile che tale sfruttamento avvenga nella pratica. Una valutazione “Alta” riflette quindi quanto danno la vulnerabilità potrebbe causare in caso di sfruttamento riuscito, non una previsione di quanto sia probabile che venga sfruttata contro utenti reali.
La stringa vettoriale sopra scompone il punteggio in più dimensioni, come da dove deve originare l’attacco, quali condizioni devono essere soddisfatte per sfruttarlo e quanto seriamente un attacco riuscito potrebbe influenzare il sistema.
In pratica, due attributi del vettore spiegano perché sfruttare CVE-2026-2638 è tutt’altro che semplice:
- AV:L (Vettore di attacco: Locale). Lo sfruttamento richiede accesso locale al dispositivo. La vulnerabilità non può essere attivata da remoto tramite internet.
- AT:P (Requisiti di attacco: Presente). Devono essere soddisfatte condizioni specifiche affinché l’attacco abbia successo, inclusa la capacità di interagire con il flusso di lavoro di ripristino del file di protezione download interessato e manipolare la gestione dei file all’interno di una finestra temporale ristretta.
Pertanto, CVE-2026-2638 dovrebbe essere preso sul serio, e gli utenti delle versioni del sito web macOS interessate dovrebbero aggiornarsi alla versione 77.5.1 o successiva del sito web X-VPN per macOS. Tuttavia, poiché lo sfruttamento richiede accesso locale e condizioni specifiche, non espone gli utenti di X-VPN a un rischio remoto immediato e su larga scala.
Ambito colpito
La tabella sottostante riassume quali versioni di X-VPN sono interessate da CVE-2026-2638:
Piattaforme e versione | Colpito? |
|---|---|
X-VPN macOS sito versioni 77.0 a 77.5 (la versione standalone di macOS scaricata da xvpn.io) | ⚠️ Colpito — si prega di aggiornare immediatamente |
Sito X-VPN per macOS, versione 77.5.1 e successive | ✅ Non influenzato (contiene la correzione) |
X-VPN Mac versione App Store | ✅ Non influenzato |
X-VPN per Windows / Linux / iOS / Android / TV / Router / Chromebook / Console di gioco / Estensione Chrome | ✅ Non influenzato |
Raccomandazioni per gli utenti
Aggiorna immediatamente all’ultima versione
Per controllare la tua versione attuale:
- Apri l’app X-VPN sul tuo MacBook.
- Fai clic su Impostazioni nell’angolo in basso a sinistra.
- Clicca su Informazioni su X-VPN.
- La tua versione attuale è mostrata sotto “X-VPN per Mac”.
Se la tua versione è compresa tra 77.0 e 77.5, aggiorna scaricando l’ultima versione dalla nostra pagina di download per Mac.
Prossimi passi & Contatto
X-VPN rimane impegnato nella sicurezza degli utenti oltre a questo specifico problema. Come parte delle nostre pratiche di sicurezza in corso.
- Audit continui del codice e scansioni delle vulnerabilità: Rivediamo regolarmente il nostro codice e eseguiamo controlli di sicurezza per identificare e affrontare potenziali problemi prima che raggiungano gli utenti.
- Programma di Bug Bounty: Accogliamo i ricercatori di sicurezza a inviare rapporti di vulnerabilità responsabili attraverso il nostro Programma di Bug Bounty. Risultati validi e riproducibili sono idonei a premi monetari, aiutandoci a rafforzare la sicurezza di ogni cliente X-VPN.
- Canale di segnalazione diretto: Se scopri un problema di sicurezza o sospetti un comportamento insolito in X-VPN, ti preghiamo di inviare un’email a security@xvpn.io. Tutte le segnalazioni vengono esaminate dal nostro team di sicurezza.
Ringraziamo Fluid Attacks per aver divulgato responsabilmente CVE-2026-2638 e per aver collaborato con noi durante il processo di divulgazione coordinata.
FAQ
Questo problema di sicurezza è stato risolto?
Sì. La vulnerabilità è stata completamente risolta in X-VPN per la versione del sito web macOS 77.5.1. Gli utenti delle versioni 77.0–77.5 dovrebbero aggiornare immediatamente.
Sono a rischio se utilizzo X-VPN?
Solo gli utenti macOS delle versioni scaricate direttamente 77.0 fino a 77.5 sono interessati. Se sei sulla versione 77.5.1 o successiva, sulla versione dell’App Store, o su qualsiasi altra piattaforma (Windows, iOS, Android, Linux, ecc.), non sei interessato.
La protezione download è abilitata per impostazione predefinita nella versione del sito web X-VPN per macOS?
No. La protezione download è disabilitata per impostazione predefinita nella versione del sito web X-VPN per macOS e deve essere attivata manualmente.
Poiché il flusso di lavoro vulnerabile viene eseguito solo quando la protezione download è attiva, solo gli utenti che avevano esplicitamente abilitato questa funzione su una versione del sito web macOS interessata (77.0 fino a 77.5) sono stati esposti a CVE-2026-2638. Gli utenti che non avevano mai abilitato la protezione download non sono stati esposti al percorso di codice vulnerabile.
Questo influisce sulla crittografia del mio VPN o sui miei dati?
No. La vulnerabilità è un problema di escalation dei privilegi locali sul dispositivo dell’utente. Non si trova nel tunnel VPN di X-VPN, nel protocollo di crittografia, nel sistema di account o nell’infrastruttura del server.
Qualcuno è stato effettivamente attaccato utilizzando questa vulnerabilità?
Non abbiamo osservato segnalazioni di questa vulnerabilità sfruttata in natura. È stata scoperta e segnalata da Fluid Attacks attraverso un processo di divulgazione responsabile, permettendoci di risolverla prima di qualsiasi sfruttamento noto.
L’attacco può avvenire da remoto tramite Internet?
No. Sfruttare questa vulnerabilità richiede che l’attaccante abbia già accesso locale con privilegi bassi al MacBook dell’utente. Non può essere attivata da remoto tramite la rete o attraverso un sito web malevolo.
Dove posso segnalare problemi di sicurezza a X-VPN?
Si prega di inviare un’email a security@xvpn.io o di inviare tramite il nostro Programma di Bug Bounty. Accogliamo e premiamo le segnalazioni di sicurezza responsabili.
