ExpressVPN e la vulnerabilità che ha rivelato l’IP reale: analisi approfondita e suggerimenti per la sicurezza
Cos’è successo: la vulnerabilità tecnica
Nel luglio 2025 è stato reso noto che una vulnerabilità nella versione Windows di ExpressVPN ha esposto il vero indirizzo IP degli utenti durante l’uso di Remote Desktop Protocol (RDP) o di altro traffico instradato attraverso la porta TCP 3389. Questo problema si è verificato nelle release che vanno dalla versione 12.97 a 12.101.0.2-beta, ed è stato risolto con la versione 12.101.0.45. Per essere totalmente al sicuro, ExpressVPN raccomanda di aggiornare subito alla versione 12.103.0.22 o successiva.
La vulnerabilità, scoperta dal ricercatore di sicurezza “Adam-X” grazie al programma di bug bounty dell’azienda, era dovuta a una porzione di codice di debug lasciata per errore nella build di produzione. Così, il traffico indirizzato su porta 3389 bypassava il tunnel VPN e arrivava a destinazione senza essere protetto dal servizio, rendendo possibile a soggetti terzi il rilevamento dell’IP reale dell’utente.
Chi è stato esposto e perché l’impatto è limitato
Il bug ha interessato principalmente coloro che utilizzavano RDP su Windows o traffico TCP su porta 3389. In genere, si tratta di un protocollo usato in ambito aziendale piuttosto che da semplici utenti privati. Secondo ExpressVPN, il numero di utenti effettivamente esposti è quindi stato molto contenuto.
Perché un attaccante potesse sfruttare la falla, era necessario che fosse a conoscenza della vulnerabilità e che riuscisse a veicolare traffico sulla porta 3389, eventualmente inducendo la vittima a connettersi a server malevoli o caricare contenuti specifici su quella porta. In pratica, si è trattato di un rischio circoscritto ma che comunque mina una delle garanzie fondamentali dell’uso di una VPN: la riservatezza dell’indirizzo IP anche durante operazioni remote.
Dati compromessi: cosa NON è stato esposto
È importante sottolineare che, pur avendo esposto l’IP reale, la falla non ha compromesso la cifratura dei dati. Solo l’indirizzo IP e l’informazione sulla connessione a specifici server remoti potevano essere visualizzati da osservatori sul network come ISP, amministratori o malintenzionati sulla stessa rete. Nessun contenuto dei pacchetti (inclusi i dati delle sessioni RDP protette) è risultato decifrabile da terzi grazie alla protezione intrinseca fornita dalla crittografia del protocollo VPN e di RDP.
La risposta di ExpressVPN
ExpressVPN ha dimostrato tempestività nella gestione dell’incidente: il report della vulnerabilità è stato ricevuto e validato nel giro di poche ore, e l’azienda ha reagito con una patch rapida. Inoltre, ha dichiarato di aver migliorato processi e controlli interni affinché errori simili, dovuti a codice di debug rimasto nelle release di produzione, vengano intercettati prima del rilascio.
Sono stati rafforzati sia i test automatici che la revisione manuale dei codici e delle configurazioni, per minimizzare il rischio che configurazioni destinate solo ai test interni arrivino agli utenti finali.
Consigli pratici per gli utenti: come proteggersi da vulnerabilità simili
Alla luce di questo evento, è utile ribadire alcune buone pratiche di sicurezza per massimizzare la privacy e la protezione durante l’uso delle VPN su Windows o altri sistemi operativi.
Aggiorna sempre il software VPN
- Installare prontamente gli aggiornamenti: la falla è stata risolta solo con le ultime versioni del client ExpressVPN. Se utilizzi ancora una versione antecedente alla 12.101.0.45, aggiornala immediatamente: gli aggiornamenti software contengono fix essenziali non solo per la funzionalità, ma soprattutto per la sicurezza.
- Abilita gli aggiornamenti automatici se disponibili. In questo modo sarai meno esposto a rischi legati a falle note ma non ancora chiuse localmente.
Utilizza il kill switch
La maggior parte delle VPN, inclusa ExpressVPN, offre una funzione chiamata Network Lock o kill switch, che blocca tutto il traffico di rete nel caso in cui la connessione VPN dovesse interrompersi o bypassare il tunnel. Attiva sempre il kill switch, soprattutto quando utilizzi protocolli o servizi sensibili come RDP.
Verifica la protezione IP
Dopo esserti connesso alla VPN, puoi verificare se il tuo IP reale è nascosto visitando siti di controllo IP (es. whatismyip.com) oppure utilizzando tool specifici per testare eventuali leak su porte particolari come la 3389.
Configura correttamente le regole del firewall
Un firewall locale ben configurato può bloccare il traffico non instradato attraverso la VPN. Puoi:
- Creare regole che autorizzano solo il traffico in uscita verso la porta di rete della VPN.
- Bloccare qualsiasi traffico diretto in uscita sulla porta 3389 da programmi che non devono accedere a RDP.
Limita l’esposizione di RDP
- Evita di esporre direttamente RDP sui sistemi accessibili da Internet. Se hai bisogno di accesso remoto, utilizza soluzioni di tunneling sicuro come VPN o SSH.
- Attiva l’autenticazione multifattoriale (MFA) per l’accesso RDP e limita l’accesso solo a utenti e indirizzi IP autorizzati.
- Usa sempre password robuste e aggiornale periodicamente.
Monitora le vulnerabilità note
Iscriviti alle newsletter delle principali aziende di sicurezza, e in particolare al blog e ai canali ufficiali di ExpressVPN, per ricevere notifiche su vulnerabilità recenti e aggiornamenti critici.
Valuta audit di sicurezza e bug bounty
Le piattaforme VPN più affidabili gestiscono programmi di bug bounty pubblici e audit indipendenti sul codice. Prima di scegliere una VPN, valuta la trasparenza dell’azienda nella comunicazione di incidenti e la sua prontezza nel correggere eventuali falle segnalate.
FAQ: risposte rapide alle domande più comuni
1. Sono stato esposto da questa vulnerabilità? Solo se hai usato il client Windows di ExpressVPN tra la versione 12.97 e 12.101.0.2-beta, e solo se hai generato traffico (non solo RDP, ma qualsiasi TCP su porta 3389) mentre la VPN era attiva. Se non rientri in questi casi, il rischio per te è praticamente nullo.
2. I miei dati sensibili sono stati violati? No. Il contenuto delle sessioni e i dati trasmessi restano criptati. L’unico dato potenzialmente esposto è stato l’IP reale nell’intestazione delle connessioni TCP 3389 non protette dal tunnel VPN.
3. Cosa devo fare ora? Aggiorna subito il client ExpressVPN. Attiva il kill switch e, se non strettamente necessario, limita l’uso di RDP o di traffico sulla porta 3389 su sistemi accessibili da Internet o da reti pubbliche.
Anche i servizi VPN leader come ExpressVPN possono talvolta affrontare vulnerabilità inaspettate. La chiave sta nella trasparenza, nelle reazioni rapide e nella capacità di apprendere dagli errori per rafforzare la sicurezza futura. Da parte degli utenti, la consapevolezza e l’adozione di buone pratiche riducono drasticamente il rischio di esposizione, garantendo che anche in caso di bug simili la privacy resti sotto controllo.
