ExpressVPN พบบั๊ก “DNS Request รั่ว” ในฟีเจอร์ Split Tunneling

ExpressVPN ผู้ให้บริการ VPN ยอดนิยม ล่าสุดเปิดเผยว่าพบบั๊กในฟีเจอร์ Split Tunneling ที่ทำให้ DNS Request บางส่วนรั่วไหล (Leak) ออกไปที่ Internet Service Provider (ISP) ของผู้ใช้ได้

โดย Split Tunneling เป็นฟีเจอร์ที่ทำให้ผู้ใช้งานสามารถเลือกเส้นทาง (Route) การจราจรบนอินเทอร์เน็ต (Internet Traffic) บางเส้นที่จะผ่านใน VPN Tunnel ได้ว่าจะวิ่งไปที่ช่องทางใด เพื่อสนับสนุนความยืดหยุ่นในการใช้งานทั้งการเข้าถึงแบบ Local Access ร่วมกับการทำ Remote Access ได้อย่างปลอดภัย

หากแต่บั๊กนั้นเกิดขึ้นในฟีเจอร์นั้นจะทำให้ DNS Request บางส่วนนั้นไม่ได้วิ่งไปที่ Infrastructure ของ ExpressVPN แต่จะวิ่งไปที่ IPS ที่ผู้ใช้ใช้งานอยู่แทน

“เมื่อผู้ใช้เชื่อมโยง ExpressVPN แล้ว DNS Request เหล่านั้นก็ควรจะถูกส่งไปที่เครื่องเซิร์ฟเวอร์ของ ExpressVPN” ExpressVPN กล่าวอธิบายในบล็อกโพส “แต่บั๊กดังกล่าวทำให้ Request บางส่วนนั้นจะไปที่เครื่อง 3rd party แทน ซึ่งส่วนใหญ่คือเครื่องของ ISP ที่ผู้ใช้ใช้งาน”

บั๊กดังกล่าวนั้นได้เกิดขึ้นใน ExpressVPN Windows เวอร์ชัน 12.23.1 – 12.72.0 ที่ปล่อยออกมาให้ใช้งานในช่วง 19 พ.ค.2022 จนถึง 7 ก.พ.2024 ที่ผ่านมา ซึ่งถ้าหากใครอัปเดตเป็นเวอร์ชัน ExpressVPN ล่าสุด ทางผู้ให้บริการได้ถอดฟีเจอร์ Split Tunneling ออกไปเป็นที่เรียบร้อยแล้ว 

หากใครสะดวกอัปเดตให้เป็นเวอร์ชันล่าสุดก็ควรจะอัปเดต แต่ถ้าไม่สามารถทำได้ก็ปิดฟีเจอร์ดังกล่าวไว้ก่อนเพื่อไม่ให้เกิดอาการ Leak ของ DNS Request ตอนใช้งานได้ หากแต่ถ้าจำเป็นต้องใช้ฟีเจอร์ Split Tunneling จริง ๆ ทาง ExpressVPN แนะนำให้ดาวน์โหลดเวอร์ชัน 10 มาใช้งานไปก่อน

ที่มา: https://www.bleepingcomputer.com/news/security/expressvpn-bug-has-been-leaking-some-dns-requests-for-years

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …