Se ha identificado una vulnerabilidad de seguridad crítica en el Escritorio Remoto de GNOME, la cual podría ser utilizada por atacantes no autenticados para agotar los recursos del sistema y provocar la interrupción de procesos esenciales.
Esta vulnerabilidad, designada como CVE-2025-5024 y divulgada el 21 de mayo de 2025, representa un riesgo considerable para las organizaciones que emplean servicios de escritorio remoto en entornos Red Hat Enterprise Linux.
Con una puntuación CVSS de 7.4 (gravedad alta), la falla afecta al servicio gnome-remote-desktop cuando está configurado para aceptar conexiones del Protocolo de Escritorio Remoto (RDP). Investigadores de seguridad han clasificado este fallo como un consumo incontrolado de recursos (CWE-400), lo que permite a los atacantes explotar el sistema sin necesidad de credenciales de autenticación.
La vulnerabilidad surge de cómo Gnome-Remote-Desktop maneja las unidades de datos de protocolo (PDU) RDP entrantes al establecer conexiones.
Según el aviso de seguridad de Red Hat, las PDU RDP con formato incorrecto pueden desencadenar un consumo excesivo de recursos, lo que provoca fallas en el servicio y una posible inestabilidad del sistema.
El vector de ataque utiliza una explotación basada en la red con baja complejidad y no requiere privilegios especiales por parte del atacante.
La cadena de vector CVSS CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H indica que, si bien el ataque requiere la interacción del usuario, se puede ejecutar de forma remota con un alcance modificado, lo que genera un impacto de alta disponibilidad.
Los expertos en seguridad señalan que los intentos repetidos de explotación pueden provocar fugas persistentes de recursos, lo que impide que el servicio gnome-remote-desktop abra archivos incluso después de que systemd reinicie el proceso.
Se confirma que las versiones 8, 9 y 10 de Red Hat Enterprise Linux son vulnerables a CVE-2025-5024, y el paquete gnome-remote-desktop se ve afectado específicamente en todas estas distribuciones.
La vulnerabilidad también afecta a los sistemas Debian que ejecutan las versiones 11, 12 y 13 del paquete gnome-remote-desktop.
Los analistas de seguridad han asignado una puntuación EPSS (Sistema de puntuación de predicción de explotación) del 0,04 %, lo que indica aproximadamente un riesgo del percentil 9 de explotación en un plazo de 30 días.
La naturaleza de denegación de servicio de esta vulnerabilidad puede interrumpir gravemente las operaciones de escritorio remoto, particularmente en entornos empresariales donde gnome-remote-desktop facilita flujos de trabajo críticos de acceso remoto.
A diferencia de las fallas tradicionales del servicio, el componente de fuga de recursos significa que los sistemas afectados pueden requerir una intervención manual más allá del simple reinicio del servicio para restaurar la funcionalidad completa.
Los administradores de seguridad pueden implementar medidas de protección inmediatas deshabilitando el servicio gnome-remote-desktop usando los comandos systemctl: sudo systemctl stop gnome-remote-desktop.service y sudo systemctl enable gnome-remote-desktop.service.
Esta solución temporal evita que el servicio escuche conexiones RDP, lo que mitiga eficazmente los intentos de explotación hasta que los parches estén disponibles.
Las organizaciones deben priorizar las configuraciones de firewall para bloquear el puerto 3389, el puerto RDP estándar, particularmente para sistemas con acceso a Internet.
Las políticas de segmentación de red y control de acceso pueden limitar aún más la exposición al restringir el acceso RDP a segmentos de red autorizados.
Se recomienda a los administradores del sistema que controlen los patrones inusuales de consumo de recursos e implementen controles automatizados del estado del servicio para detectar posibles intentos de explotación.
Red Hat ha confirmado esta vulnerabilidad mediante el informe Bugzilla 2367717, que la describe como un «consumo incontrolado de recursos debido a PDU RDP mal formadas».
Las organizaciones que utilicen sistemas afectados deben anticipar las próximas actualizaciones de seguridad. Asimismo, se recomienda considerar el uso de soluciones de escritorio remoto alternativas para operaciones críticas hasta que se apliquen los parches correspondientes en su infraestructura.
