Xrdp sérülékenység
A Kaspersky elemzése szerint a CVE-2025-68670 egy kritikus távoli kódfuttatási sérülékenység az xrdp komponensben, amelyet az RDP protokoll kapcsolatfelépítési folyamatának korai szakaszában lehet kihasználni, még a felhasználói hitelesítés előtt.
A sérülékenység oka egy hibás memóriakezelési folyamat a Client Info PDU feldolgozásakor. Az xrdp nem megfelelően ellenőrzi a kliens által küldött domain mező hosszát, ami stack-alapú buffer overflow-hoz vezethet. Egy speciálisan kialakított RDP csomag segítségével a támadó képes lehet a veremmemória felülírására, beleértve a visszatérési cím módosítását is, ami potenciálisan távoli kódfuttatást tesz lehetővé az érintett rendszeren.
A támadás különösen veszélyes, mert teljesen hálózati szinten hajtható végre, nem igényel hitelesítést vagy felhasználói interakciót, és közvetlenül az xrdp szolgáltatást támadja. Ez azt jelenti, hogy internet vagy VPN felől elérhető xrdp szerverek esetén a sérülékenység közvetlen kompromittációs vektort jelenthet.
A Kaspersky szerint az exploitáció megbízhatóságát befolyásolja, hogy az érintett bináris stack canary védelemmel lett-e fordítva. Canary jelenléte esetén a támadónak további információszivárgási technikára lehet szüksége, azonban ez nem szünteti meg a sérülékenység súlyosságát. A kutatás hangsúlyozza, hogy a hiba technikailag jól kihasználható, különösen gyengébben hardenelt Linux környezetekben.
A sérülékenység azért jelentős, mert az xrdp széles körben használt Linux-alapú távoli asztali infrastruktúrákban, VDI környezetekben és thin-client rendszerekben. Egy sikeres exploit teljes rendszerszintű hozzáférést biztosíthat a támadónak, így az érintett szolgáltatás a hálózati perem egyik magas kockázatú belépési pontjává válhat.
