Введение
Недавно Fluid Attacks сообщили о уязвимости повышения локальных привилегий (CVE-2026-2638) через ответственное раскрытие, затрагивающей версии 77.0 до 77.5 веб-сайта X-VPN для macOS. Мы серьезно отнеслись к отчету, воспроизвели проблему внутри компании и выпустили исправление в версии 77.5.1 веб-сайта X-VPN для macOS. Наш внутренний обзор подтвердил, что проблема не была связана с VPN-туннелем X-VPN, протоколом шифрования, системой учетных записей или серверной инфраструктурой, и что другие платформы или версии X-VPN за пределами затронутого диапазона веб-сайта macOS не пострадали. Эксплуатация в дикой природе не была зафиксирована. Пользователям затронутых версий следует обновиться как можно скорее.
В духе прозрачности и подотчетности мы поделимся деталями уязвимости, ее масштабом и действиями, которые мы предприняли.
Table of Contents
Наши ключевые выводы
CVE-2026-2638 — это уязвимость повышения локальных привилегий, затрагивающая X-VPN macOS website (отдельная версия macOS, загруженная с xvpn.io) версии 77.0-77.5. Проблема повышения локальных привилегий означает, что при определенных локальных условиях пользователь или процесс с ограниченными правами на том же устройстве могут получить доступ на уровне администратора. X-VPN исправил эту проблему в версии X-VPN macOS website 77.5.1 и более поздних версиях.
Уязвимость возникла в функции Защита загрузок версии сайта X-VPN для macOS (находится в разделе Безопасность → Защита браузера → Защита загрузок), которая сканирует загруженные файлы, помещает в карантин те, которые кажутся небезопасными, и восстанавливает их по запросу. Поскольку помещение файлов в карантин и их восстановление связано с записью в места, защищенные системными разрешениями macOS, части этой функции работают с правами администратора.
CVE-2026-2638 был недостатком в том, как эта часть функции на уровне администратора проверяла идентичность файла на этапах сканирования, карантина и восстановления, что могло позволить злонамеренной локальной программе перенаправить привилегированную операцию на файл, отличный от того, для которого она предназначалась. Подробное объяснение представлено в Что такое CVE-2026-2638.
Это была не удаленная сетевая атака, и она не затронула VPN-туннель X-VPN, протокол шифрования, систему учетных записей или серверную инфраструктуру. Версия X-VPN для Mac App Store и X-VPN для Windows, iOS, Android, Linux, маршрутизаторов, ТВ, расширения Chrome, Chromebook и игровых консолей не пострадали.
Пользователи, использующие версии X-VPN для macOS 77.0-77.5, должны обновиться до версии 77.5.1 или более поздней версии сейчас.
Ключевые факты изложены ниже:
Элемент | Официальное заявление |
|---|---|
CVE ID | CVE-2026-2638 |
Статус | Исправлено |
Затронутые версии | X-VPN версия для macOS 77.0–77.5 |
Исправленная версия | X-VPN версия для macOS веб-сайта 77.5.1 и выше |
Не затронутая версия | X-VPN версия Mac App Store/ Windows/ iOS/ Android/ Linux/ Роутер/ ТВ/ Расширение Chrome/ Chromebook/ Игровые консоли |
Тип уязвимости | Локальное повышение привилегий |
Серьезность | CVSS v4.0 оценка 7.3, Высокий |
Статус эксплуатации | На основе доступных в настоящее время данных, мы не знаем о каких-либо случаях эксплуатации этой проблемы в дикой природе; не было получено никаких связанных отчетов от пользователей. |
Действие пользователя | Обновите версию X-VPN для macOS на сайте до версии 77.5.1 и выше. |
Что такое CVE-2026-2638?
Чтобы объяснить, как можно использовать уязвимость CVE-2026-2638, полезно сначала рассмотреть, как обычно работает Защита загрузки.
Функция Защита загрузок версии X-VPN для macOS проходит трехступенчатый процесс: она сканирует новые загружаемые файлы, помещает подозрительные файлы в карантин и восстанавливает их, когда запрашивается действие восстановления. Чтобы определить, с каким файлом она работает на каждом этапе, функция отслеживает файл по его местоположению на Mac: его пути к файлу. Уязвимость возникла из-за того, что функция доверяла только пути к файлу, чтобы он продолжал указывать на один и тот же файл на всех трех этапах, не проверяя независимо фактическое содержимое файла.
В обычном использовании это справедливое предположение, пути к файлам обычно не меняются между операциями. Но при двух конкретных условиях это предположение может быть использовано:
1
2
Первое условие вызывает естественный вопрос: откуда вообще мог появиться такой вредоносный программный продукт? Это стоит кратко обсудить, потому что ответ также показывает, за что CVE-2026-2638 отвечает, а за что нет.
Откуда появляется вредоносная программа
Зловредная программа может попасть на устройство любым из обычных способов, например, открыв фишинговое письмо, скачав и запустив программное обеспечение из ненадежного источника или установив скомпрометированное стороннее приложение. Эти начальные пути заражения независимы от CVE-2026-2638.
На macOS программы обычно работают с правами пользователя, который их запустил. Зловредная программа, установленная через эти каналы, будет запускаться только с обычными правами пользователя, она не сможет самостоятельно изменять защищенные системные места или выполнять действия на уровне администратора. Получение доступа на уровне администратора обычно требует от пользователя явного разрешения (например, через запрос пароля). Вот почему уязвимости повышения локальных привилегий важны: они предоставляют злоумышленникам способ обойти этот барьер.
Два разрыва, которые сделали атаку возможной
Разрыв 1: Разрыв во времени (CWE-367: Условие гонки времени проверки и времени использования)
- Защита загрузки проверяет файл на одном этапе и действует на него на следующем этапе. Между этими двумя событиями есть короткий момент. В этот момент вредоносная программа, используя только разрешения на редактирование файлов, которые уже есть у каждого пользователя, может заменить оригинальный файл на другой. Защита загрузки затем выполнит свой привилегированный шаг на замененном файле, а не на файле, который она проверила.
Разрыв 2: Разрыв символической ссылки (CWE-59: Неправильное разрешение ссылок перед доступом к файлу)
- macOS позволяет пользователям создавать то, что по сути является ярлыком к другому файлу, «символической ссылкой». Она выглядит и ведет себя как обычный файл, но когда любое приложение открывает ее, система автоматически перенаправляет на то, на что указывает ярлык.
Уязвимость заключалась в том, что Защита загрузки не проверяла, является ли файл, который она собиралась обработать, на самом деле ярлыком на что-то другое. Зловредная программа могла создать такой ярлык в том месте, где Защита загрузки собиралась действовать, и направить его на важный файл в другой части системы. Защита загрузки, работающая с правами администратора, затем невольно выполняла свои операции с этим файлом, хотя этот файл никогда не должен был быть затронут.
Почему это привело к эскалации привилегий
В обоих случаях вредоносная программа сама по себе не получила новых разрешений. То, что она сделала, это перенаправила законную привилегированную операцию, выполняемую Защитой загрузки, на файл, который вредоносная программа в противном случае не могла бы изменить. Обманув Защиту загрузки, заставив ее записывать в защищенное системой место от своего имени, вредоносная программа могла косвенно вызвать изменения, которые обычно разрешены только процессам на уровне администратора.
Это то, что сделало CVE-2026-2638 локальным повышением привилегий: не путем кражи доступа на уровне администратора, а путем обмана законной операции на уровне администратора, заставляя ее делать что-то, что она никогда не должна была делать.
На практике это означает, что вредоносная программа может вносить изменения в системное поведение устройства, для которых требуется авторизация администратора.
Что такое CVE-2026-2638 не является
- Не нарушение серверов X-VPN
- Не уязвимость в VPN-туннеле, протоколе шифрования, системе учетных записей или серверной инфраструктуре
- Не удаленная атака, она требует локального доступа с низкими привилегиями к устройству.
- Не применимо к другим платформам или к версии в App Store.
Как мы это исправили
X-VPN версия для macOS 77.5.1 усиливает рабочий процесс восстановления защищенных файлов загрузки. Основные улучшения включают:
1. Проверка согласованности идентичности файла
Когда загруженный файл сканируется защитным слоем, отпечаток содержимого файла теперь записывается. Если файл позже нужно будет поместить в карантин, X-VPN повторно проверяет, соответствует ли текущее содержимое файла тому, что было отсканировано.
Если файл был заменен, изменен или иным образом изменен после сканирования, процесс карантина отклоняется.
2. Проверка целостности карантина
После того как файл попадает в карантин, информация о его состоянии в карантине записывается. Прежде чем пользователь восстановит файл, X-VPN повторно проверяет, что файл в карантине все еще находится в зафиксированном состоянии карантина.
Если quarantined файл был заменен или изменен, операция восстановления заблокирована.
3. Символические ссылки не принимаются в критических операциях
Рабочий процесс защиты загрузок теперь отказывается сканировать или восстанавливать файлы символических ссылок. Это предотвращает возможность злоумышленников перенаправлять операции карантина или восстановления на непреднамеренные файлы с помощью манипуляции с путями.
В целом, это исправление больше не полагается только на пути к файлам для идентификации обрабатываемого файла. Вместо этого X-VPN теперь использует многоступенчатые проверки целостности контента, чтобы убедиться, что файлы не были заменены или изменены в процессе сканирования, карантина и восстановления. Он также блокирует перенаправление символических ссылок, которое в противном случае могло бы привести к тому, что операции восстановления с привилегиями будут применяться к нежелательным местоположениям файлов.
Понимание серьезности
CVE-2026-2638 был оценен с базовым баллом CVSS v4.0 7.3 (Высокий), с векторной строкой:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Общая система оценки уязвимостей) является стандартной отраслевой рамкой для оценки серьезности уязвимостей безопасности. Согласно FIRST, организации, которая поддерживает стандарт CVSS, CVSS измеряет насколько серьезной может быть уязвимость, если она будет успешно использована, а не насколько вероятно, что это использование действительно произойдет на практике. Таким образом, рейтинг «Высокий» отражает, какой ущерб может причинить уязвимость при успешной эксплуатации, а не предсказание того, насколько вероятно, что она будет использована против реальных пользователей.
Векторная строка выше разбивает оценку на несколько измерений, таких как то, откуда должно исходить нападение, какие условия должны быть выполнены для его эксплуатации и насколько серьезно успешная атака может повлиять на систему.
На практике два атрибута вектора объясняют, почему использование CVE-2026-2638 далеко не просто:
- AV:L (Вектор атаки: Локальный). Для эксплуатации требуется локальный доступ к устройству. Уязвимость не может быть активирована удаленно через интернет.
- AT:P (Требования к атаке: Наличие). Для успешного проведения атаки необходимо выполнить определенные условия, включая возможность взаимодействия с затронутым рабочим процессом восстановления защиты загрузки файлов и манипуляции с обработкой файлов в узком временном окне.
Поэтому CVE-2026-2638 следует воспринимать серьезно, и пользователи затронутых версий веб-сайта macOS должны обновиться до версии веб-сайта X-VPN macOS 77.5.1 или более поздней. Однако, поскольку для эксплуатации требуется локальный доступ и определенные условия, это не ставит пользователей X-VPN под немедленный, широкомасштабный удаленный риск.
Затронутый объем
В таблице ниже приведено резюме о том, какие версии X-VPN затронуты CVE-2026-2638:
Платформы и версия | Затронуты? |
|---|---|
X-VPN macOS сайт версии 77.0 до 77.5 (отдельная версия macOS, загруженная с xvpn.io) | ⚠️ Затронуто — пожалуйста, обновите немедленно |
X-VPN macOS сайт, версия 77.5.1 и выше | ✅ Не затронуто (содержит исправление) |
X-VPN Mac версия App Store | ✅ Не затронуто |
X-VPN для Windows / Linux / iOS / Android / TV / маршрутизаторов / Chromebook / игровых консолей / расширения Chrome | ✅ Не затронуто |
Рекомендации для пользователей
Обновите до последней версии немедленно
Чтобы проверить вашу текущую версию:
- Откройте приложение X-VPN на вашем MacBook.
- Нажмите «Настройки» в нижнем левом углу.
- Нажмите «О X-VPN».
- Ваша текущая версия отображается под «X-VPN для Mac».
Если ваша версия находится между 77.0 и 77.5, обновите, скачав последнюю версию с нашей страницы загрузки для Mac.
Следующие шаги и контакт
X-VPN продолжает приверженность безопасности пользователей за пределами этой конкретной проблемы. В рамках наших постоянных практик безопасности.
- Непрерывные аудиты кода и сканирование уязвимостей: Мы регулярно проверяем нашу кодовую базу и проводим проверки безопасности, чтобы выявить и устранить потенциальные проблемы до того, как они достигнут пользователей.
- Программа вознаграждений за уязвимости: Мы приветствуем исследователей безопасности, которые могут отправлять ответственные отчеты о уязвимостях через нашу Программу вознаграждений за уязвимости. Действительные и воспроизводимые находки имеют право на денежные вознаграждения, что помогает нам укрепить безопасность каждого клиента X-VPN.
- Прямой канал отчетности: Если вы обнаружите проблему безопасности или подозрительное поведение в X-VPN, пожалуйста, отправьте электронное письмо на security@xvpn.io. Все отчеты рассматриваются нашей командой безопасности.
Мы благодарим Fluid Attacks за ответственное раскрытие CVE-2026-2638 и за сотрудничество с нами в процессе координированного раскрытия.
Часто задаваемые вопросы
Эта уязвимость была исправлена?
Да. Уязвимость была полностью устранена в X-VPN для macOS версии 77.5.1. Пользователям версий 77.0–77.5 следует немедленно обновиться.
Я в опасности, если я использую X-VPN?
Только пользователи macOS на версиях 77.0 до 77.5, загруженных напрямую, подвержены этому. Если вы используете версию 77.5.1 или более позднюю, версию из App Store или на любой другой платформе (Windows, iOS, Android, Linux и т.д.), вы не подвержены этому.
На сайте X-VPN для macOS защита загрузок включена по умолчанию?
Нет. Защита загрузки по умолчанию отключена в версии X-VPN для macOS на сайте и должна быть включена вручную.
Поскольку уязвимый рабочий процесс выполняется только при активной защите загрузки, только пользователи, которые явно включили эту функцию в затронутой версии сайта macOS (77.0 до 77.5), подвергались риску CVE-2026-2638. Пользователи, которые никогда не включали защиту загрузки, не подвергались уязвимому коду.
Это влияет на шифрование моего VPN или мои данные?
Нет. Уязвимость является проблемой повышения локальных привилегий на устройстве пользователя. Она не связана с VPN-туннелем X-VPN, протоколом шифрования, системой учетных записей или серверной инфраструктурой.
Кто-нибудь действительно подвергался атаке с использованием этой уязвимости?
Мы не наблюдали сообщений о том, что эта уязвимость используется в дикой природе. Она была обнаружена и сообщена компанией Fluid Attacks через процесс ответственного раскрытия, что позволило нам исправить её до того, как произошло какое-либо известное использование.
Может ли атака произойти удаленно через интернет?
Нет. Для эксплуатации этой уязвимости злоумышленнику необходимо уже иметь локальный доступ с низкими привилегиями к MacBook пользователя. Ее нельзя активировать удаленно через сеть или через вредоносный веб-сайт.
Где я могу сообщить о проблемах безопасности X-VPN?
Пожалуйста, отправьте электронное письмо на security@xvpn.io или подайте заявку через нашу Программу вознаграждения за уязвимости. Мы приветствуем и вознаграждаем ответственные раскрытия уязвимостей в безопасности.
