Рубрика «Дерьмовый VPN». Испытуемый — VPN BLANKO.
Сегодня необычная статья, ведь в ней я буду проверять не просто коммерческий VPN, а проект человека, который позиционирует себя как специалист по кибербезопасности.
После посещения заветного бота в Telegram мне сразу бросилось в глаза, что все инструкции представлены на RUTUBE, что уже выглядит подозрительно, ну и конечно же — ТРЕКЕРЫ НАШЕ ВСЕ. Кроме того, российский VPN просто обязан быть от иранских разработчиков (НЕТ).
С порога запускаю максимально агрессивное сканирование через nmap, чтобы найти открытые порты:
Пока идет сканирование, по классике жанра, напоминаю, что проверяемый VPN является личным проектом самопровозглашенного этичного хакера, который отзывается на имя Илья Бланко. Он неоднократно посещал федеральные каналы, доксил школьников, а также взламывал простых людей на потеху своей публике. Ну а что такого? Я вот тоже думаю, что ничего... Подумаешь, можно же потом извиниться, сказать, мол, бес попутал, да и вообще — все в рамках образовательной программы по защите населения от мошенников. Школьники побегут трясти деньги с родителей на заветный Flipper Zero, а самого народного героя позовут на очередную передачу Газпром-Медиа холдинга.
Ладно, прерываю свое лирическое отступление, ведь отчет уже готов.
Если вам тоже сразу бросилась в глаза надпись "EXPLOIT", то значит, я не одинок в своей наблюдательности.
Фильтруем вывод по портам, чтобы понять какие из них открыты:
Сразу предлагаю посмотреть уязвимости, которые у нас засели на порту SSH. Для этого переходим на сайт — https://nvd.nist.gov/vuln/detail/CVE-2024-6387
Нас сразу встречает CVSS, любезно оцененный Red Hat в 8.1 балла. Давайте поясню! Common Vulnerability Scoring System — это международный стандарт для оценки степени критичности уязвимости, от 0 до 10. Чем выше балл, тем опаснее уязвимость. Мы также видим флажки эксплуатации уязвимости, которую Илья Бланко держит на своем VPN-сервисе.
AV:N — атака выполняется удаленно через сетьAC:H — сложность эксплуатации высокая, что хорошо для пользователей, ведь зумерская аудитория Ильи, вероятнее всего, не сможет осуществить атакуPR:N — авторизация не требуется, а это значит, что атаковать пользователя можно без доступа к паролю и логину от VPN BLANKOUI:N — участие пользователя не нужно, а это значит, что не будет никакой фишинговой ссылки или любой другой ошибки с вашей стороныC:H/I:H/A:H — ну и напоследок, полный захват системы при успешно проведенной атаке
Спускаемся ниже в раздел Known Affected Software Configurations, чтобы подтвердить все вышесказанное и не оговорить кумира молодежи, этичного хакера, стилягу и просто отличного парня.
Видим в Configuration 33, что уязвимость была выявлена с 8.6 и до 9.8 версий OpenSSH. Как мы помним из вывода Nmap, у Ильи Бланко стоит версия 9.6p1, которая как раз попадает в диапазон уязвимых.
Переходим к следующей уязвимости — https://nvd.nist.gov/vuln/detail/CVE-2025-26465
Снова Red Hat, но теперь оценка 6.8.
AV:N — атака выполняется удаленно через сетьAC:H — сложность эксплуатации высокаяPR:N — авторизация не требуетсяUI:R — участие пользователя нужно. Другими словами, тут все зависит от васC:H/I:H/A:N — ИТОГО. Полная компрометация данных без отказа в обслуживании. Это значит, что если сервер будет взломан, то он продолжит свою работу и дальше — например, в качестве человека посередине (MITM).
Установленная версия OpenSSH попадает в диапазон уязвимых.
Следующая уязвимость — https://nvd.nist.gov/vuln/detail/CVE-2025-26466
AV:N — атака выполняется удаленно через сетьAC:H — сложность эксплуатации высокаяPR:N — авторизация не требуетсяUI:N — участие пользователя не нужноC:N/I:N/A:H — отказ в обслуживании, данные не компрометируются. Это значит, что если сервер начнут досить, то он мгновенно ляжет под натиском переполненного буфера.
Установленная версия OpenSSH попадает в диапазон уязвимых.
На самом деле, на VPN-сервере Ильи Бланко найдено 12 уязвимостей, но все их я рассматривать не буду, дабы не затягивать статью.
Дальше по курсу 1080 порт. После сотни неудачных попыток пробиться, я понял, что там расположился Reality или какой-то фильтр. Сервер впускает меня, но рвет соединение, как только получает неправильное рукопожатие. Я пытался пробросить SNI из белого листа на данный порт, но безуспешно.
На 8080 порту расположился валидный сертификат OZON. Админ явно пытался мимикрировать под маркетплейс. Кроме того, я обнаружил данный сертификат на 18041 хосте в базе Censys — это инфраструктура самого маркетплейса. Наш этичный хакерс скопировал публичную часть сертификата и установил его на свой сервер для маскировки трафика.
Но вот в чем загвоздка. При детальном анализе видно, как наш стиляга не учел несколько моментов, из-за чего его маскировка оказалась паршивой.
Теперь перечислю пункты, которые прямо подтверждают, что мимикрия оказалась костыльной и не выполняет свою функцию:
1) Сервер заявляет поддержку тикетов, но отказывается их принимать. Это значит, что сессия не возобновляется. При огромном трафике OZON это привело бы к сгоревшему оборудованию.
2) Сервер отдает сертификат при прямом обращении по IP. Реальный OZON потребовал бы подтверждения, что домен тебе принадлежит. Кроме того, после успешного рукопожатия мы не видим никакого ответа, значит сервер будет играть в молчанку до тех пор, пока не получит путь или ключ. РКН, ФСБ бы сразу поняли, что это зеркало, а не настоящий ресурс.
3) Дабы снизить задержки, валидность сертификатов в крупных компаниях проверяется динамически, тут мы не видим никакой проверки, что является аномальным поведением.
4) Проверка rDNS выдает хостинг Senko Network. Это мелкий провайдер, который специализируется на продаже VPS для игровых серверов Minecraft. Сомнительная картина, когда одна из самых инновационных компаний страны держит критическую инфраструктуру на хостинге для школьников.
На порту 8443 нас встречает также валидный сертификат от Cloudflare.
Что примечательно, в этом случае наш этичный хакер на*бал сам себя.
Я стучусь на IP игрового хостинга Senko Network, а в ответ получаю сертификат, принадлежащий самому Cloudflare. Cloudflare — это CDN, у них свои диапазоны IP. Странно было увидеть их родной сертификат на IP мелкого хостера. В отличие от сертификата OZON, цепочка доверия тут не нарушена, и сервер честно возвращает тикеты. Рукопожатие наш стиляга взял самое жирное (постквантовое) — эту технологию действительно активно внедряют крупные корпорации, и в контексте Cloudflare это выглядит ОК.
Как уже заведено в народе, российский VPN просто обязан быть Marzban. Я смотрю, все просто молятся на иранских разработчиков Gozargah, поэтому, наверное, чисто из принципа отказываются переписывать заголовки. Кто только этим не пользуется: либеральная оппозиция, борцы за свободу, а теперь список пополнили еще и этичные хакеры. Посмотрю детальнее.
КЛАССИКА! Сертификат выдан на 100 лет вперед, зачем мелочиться... Кроме того, админ настроил панель управления так, что теперь она ждет клиентский сертификат для входа. Наш хацкер также выкрутил SHA512, но зачем? Это не скроет иранский сертификат, который сам по себе является настолько древним, что не содержит поля SAN, а без него все современные браузеры покажут, что соединение небезопасно.
Я надеялся увидеть продолжение иранской истории на порту 62051, но увы — он просто обрывает соединение. Предположу, что на нем расположился основной транспорт для прокси, например VLESS. Наш стиляга, видимо, думал, что безжизненный порт не привлечет внимания, но когда перед ним, как новогодняя елка, светится админка Marzban, это наводит на мысли любого, кто будет ломиться на VPN BLANKO.
ИТОГО. Что мы имеем в сухом остатке?
1) Наглухо дырявый SSH с кучей незакрытых эксплойтов на борту.
2) Дешевая мимикрия под OZON и Cloudflare, рассыпающаяся при первом же толковом зондировании.
3) Использование дефолтной панели Marzban с самоподписанными сертификатами на 100 лет. Все это решение прекрасно простукивается по стандартным портам и выдает опенсорсный иранский софт.
VPN BLANKO мне видится как очередной обман потребителей под соусом кибербезопасности. Было бы просто скудно, я бы и слова не сказал, но система готова к захвату любым, кто умеет читать отчеты NVD.