В Банке данных угроз безопасности информации (BDU) зарегистрированы сразу две опасные уязвимости популярного сервера XRDP. Обе проблемы затрагивают версии продукта вплоть до 0.10.6. XRDP - это свободная реализация протокола удаленного рабочего стола, которая широко используется в среде Linux для организации доступа к графическому интерфейсу. По сути, это аналог встроенного решения от Microsoft, но для открытых операционных систем. Теперь миллионы серверов, работающих на старых сборках, оказались под ударом.
Детали уязвимостей
Первая уязвимость получила идентификатор BDU:2026-06984 (CVE-2026-35512). Ее суть кроется в переполнении буфера в динамической памяти. Говоря проще, злоумышленник может отправить на сервер специально сформированный запрос, который вызовет выход программы за границы выделенной области памяти. Это классический сценарий: ошибка типа CWE-122 (переполнение буфера в динамической памяти) позволяет нарушителю, действующему удаленно, выполнить произвольный код. То есть атакующий получает полный контроль над целевой системой. Базовый вектор CVSS версии 3.1 составляет 10,0. Это критический уровень опасности. Чтобы понять масштаб угрозы, достаточно взглянуть на показатели: уязвимость эксплуатируется без аутентификации, не требует взаимодействия с пользователем, а ее последствия затрагивают не только целостность, но и конфиденциальность данных. Атака ведется по сети, причем для успешного воздействия не нужны никакие привилегии.
Вторая уязвимость BDU:2026-06985 (CVE-2026-32105) имеет несколько иную природу. Она связана с неправильной проверкой значения целостности (CWE-354). Разработчики не предусмотрели корректную верификацию контрольных сумм или цифровых подписей в сеансе XRDP. Из-за этого нарушитель, находясь между клиентом и сервером, может перехватывать и модифицировать трафик. Эта техника известна как атака "человек посередине". Она позволяет не только читать передаваемые данные, но и внедрять вредоносные команды. По классификации CVSS 3.1 эта уязвимость также получила максимальную оценку 10,0. Однако если смотреть на более новую версию CVSS 4.0, там балл несколько ниже - 9,3, что все равно считается критическим порогом.
Обе проблемы подтверждены производителем. Сообщество свободного программного обеспечения, которое развивает XRDP, уже выпустило исправления. Рекомендуется обновить продукт до версии 0.10.7 или выше. Ссылки на соответствующие бюллетени безопасности опубликованы на GitHub в репозитории neutrino-labs.
XRDP используется не только на домашних серверах, но и в корпоративной среде, причем часто для удаленного администрирования критически важных систем. Иногда XRDP ставят на серверы баз данных, системы управления проектами или даже на промышленные контроллеры. Вектор эксплуатации в обоих случаях удаленный и не требует аутентификации. Это значит, что атакующему достаточно найти в интернете уязвимый сервер XRDP и отправить на него специальный пакет. Никаких сложных манипуляций, никакого фишинга.
Последствия могут быть катастрофическими. При успешной эксплуатации первой уязвимости злоумышленник получает возможность выполнить произвольный код с правами XRDP-сервера. Обычно сервер работает с привилегиями root, поэтому атакующий фактически захватывает машину целиком. Дальше - прямая дорога к боковому перемещению внутри сети, краже учетных данных, шифрованию данных. Вторая уязвимость позволяет не только подслушивать трафик, но и модифицировать его. К примеру, вместо легитимной команды администратора злоумышленник может подставить свою - запустить скрипт, изменить конфигурацию брандмауэра, установить программу-шпион.
Важно отметить, что обе ошибки относятся к категории уязвимостей кода. Их природа не связана с ошибками конфигурации или слабыми паролями. Это настоящие "дыры" на уровне алгоритмов. Пока неясно, существуют ли публичные эксплойты. Производитель пока уточняет данные об этом. Однако, учитывая критичность и простоту эксплуатации, можно ожидать, что в ближайшие дни в открытом доступе появятся готовые инструменты.
Что делать администраторам? Прежде всего проверить версию XRDP на всех системах. Если она ниже 0.10.7, требуется срочное обновление. Для дистрибутивов на основе Debian, Ubuntu, CentOS или Fedora обычно доступны обновленные пакеты из официальных репозиториев. Кроме того, рекомендуется временно ограничить доступ к порту 3389 (стандартный порт XRDP) с помощью правил сетевого экрана, если обновление невозможно выполнить немедленно. Использование VPN или SSH-туннелей также снижает риск, но не устраняет уязвимость полностью.
В долгосрочной перспективе стоит обратить внимание на политику управления уязвимостями. Регулярный мониторинг бюллетеней безопасности, автоматическое обновление критических компонентов и сегментирование сети помогут снизить риски. XRDP, как и любой другой сервер удаленного доступа, должен быть изолирован от остальной сети, а доступ к нему - строго аутентифицирован.
Подводя итог: две уязвимости в XRDP обнуляют все стандартные меры защиты. Они позволяют атакующему удаленно захватить контроль над сервером или встать на пути между клиентом и системой. Вердикт однозначен: обновление XRDP до актуальной версии - задача номер один для всех системных администраторов, использующих этот инструмент. Промедление может стоить данных и работоспособности инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-06984
- https://bdu.fstec.ru/vul/2026-06985
- https://www.cve.org/CVERecord?id=CVE-2026-35512
- https://www.cve.org/CVERecord?id=CVE-2026-32105
- https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-jg6p-7fg8-9hh6
- https://github.com/neutrinolabs/xrdp/security/advisories/GHSA-j2jm-c596-c5q3
