Обнаружена критическая уязвимость в сервере удаленного доступа XRDP: угроза полного контроля над системой

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в популярном сервере удаленного доступа XRDP. Идентификатор уязвимости - BDU:2026-00962, также ей присвоен идентификатор CVE-2025-68670. Проблема затрагивает версии программного обеспечения до 0.10.5 и связана с критической ошибкой переполнения стека, что позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Разработчики уже выпустили исправление в релизе XRDP версии 0.10.5.

Детали уязвимости

Уязвимость относится к классу переполнения буфера в стеке (CWE-121). Технически, ошибка возникает из-за некорректной обработки входных данных, что приводит к выходу операции за границы выделенного участка памяти. Следовательно, атакующий может манипулировать структурами данных, отправляемыми на сервер, чтобы перезаписать критически важные области стека. В результате это позволяет запустить произвольный вредоносный код с привилегиями процесса XRDP, что часто ведет к полному компрометированию хоста.

Уровень опасности этой уязвимости оценивается как критический. Базовая оценка по методологии CVSS 3.1 составляет 9.1 балла из 10, а по CVSS 2.0 - 9.4. Столь высокие баллы обусловлены тем, что для эксплуатации не требуются аутентификация (PR:N) или взаимодействие с пользователем (UI:N). Более того, атака может быть проведена удаленно через сеть (AV:N) с низкой сложностью (AC:L). Основное воздействие сфокусировано на целостности (I:H) и доступности (A:H) системы, что подразумевает возможность полного нарушения ее работы или несанкционированных изменений.

XRDP - это свободное программное обеспечение, предоставляющее графический интерфейс удаленного рабочего стола для Linux-систем, аналогичный по функционалу RDP (Remote Desktop Protocol) от Microsoft. Поэтому данный сервер широко используется в корпоративных средах, облачных инфраструктурах и на серверах администрирования. Как правило, XRDP работает на стандартном порту 3389, который часто остается открытым для удаленного управления. Таким образом, уязвимость представляет значительный риск для безопасности многих организаций.

На текущий момент наличие работающего эксплойта в открытом доступе уточняется. Однако, учитывая критичность уязвимости и доступность технического описания, эксперты прогнозируют, что активные попытки эксплуатации могут появиться в краткосрочной перспективе. Злоумышленники, особенно участники групп целевых атак (APT), могут использовать эту брешь для получения первоначального доступа к сети или для повышения привилегий внутри системы.

Производитель, сообщество NeutrinoLabs, оперативно отреагировало на обнаружение проблемы. Уязвимость была подтверждена, и для ее устранения выпущен патч. Соответственно, единственным надежным способом устранения угрозы является немедленное обновление XRDP до версии 0.10.5 или более поздней.

Администраторам и специалистам по безопасности настоятельно рекомендуется проверить все системы, где развернут сервер XRDP. Необходимо установить актуальную версию программного обеспечения, следуя официальным инструкциям по обновлению. Если немедленное обновление невозможно, следует рассмотреть временные компенсирующие меры. Например, можно ограничить доступ к порту службы XRDP с помощью правил сетевого экрана, разрешив подключения только с доверенных IP-адресов. Кроме того, полезно усилить мониторинг сетевой активности на предмет подозрительных попыток подключения к этому сервису.

Данный инцидент лишний раз подчеркивает важность своевременного управления обновлениями для всего программного обеспечения, включая инструменты с открытым исходным кодом. К счастью, в данном случае процесс исправления был открытым и быстрым, что минимизирует потенциальный ущерб для ответственных пользователей. В итоге, оперативное применение патча остается ключевым действием для защиты инфраструктуры от потенциальных атак, использующих эту критическую уязвимость.

Детали уязвимости

Ссылки