В демоне GNU InetUtils telnet (telnetd) была обнаружена критическая уязвимость безопасности, получившая идентификатор CVE-2026-24061. Данная брешь позволяет удаленным злоумышленникам обходить процедуру входа в систему и получать полный root-доступ. Согласно системе оценки CVSS, серьезность угрозы составляет 9.8 балла из 10.0, что классифицирует ее как критическую. Уязвимость оставалась незамеченной на протяжении почти 11 лет и затрагивает версии программного обеспечения GNU InetUtils от 1.9.3 до 2.7 включительно.
Техническая суть проблемы заключается в отсутствии должной очистки входных данных в сервере
Механизм эксплойта основывается на манипуляции передаваемыми данными. Клиент отправляет специально сформированное значение переменной USER, содержащее строку
Хронология появления и обнаружения проблемы охватывает более десятилетия. Уязвимость была внесена в исходный код 19 марта 2015 года и официально выпущена в версии 1.9.3 12 мая 2015 года. Обнаружение и отчет об ошибке произошли только 19 января 2026 года. Национальная база данных уязвимостей NIST (NVD) предоставила подробное описание дефекта, подтвердив его статус. Согласно последним данным, активные атаки с использованием этой бреши наблюдались в течение последних 24 часов относительно момента публикации отчета.
Честь открытия и сообщения об уязвимости принадлежит исследователю безопасности Кю Нойшвайштейну (Kyu Neushwaistein), также известному как Карлос Кортес Альварес (Carlos Cortes Alvarez). Обсуждение технических деталей и последствий недостатка велось на список рассылки oss-security, где активное участие принимал Саймон Йозефссон (Simon Josefsson), контрибьютор проекта GNU. Эти специалисты сыграли ключевую роль в идентификации и анализе проблемы.
Компания GreyNoise, занимающаяся разведкой киберугроз, зафиксировала данные об активной эксплуатации уязвимости. Была отмечена активность с 21 уникального IP-адреса, пытавшегося выполнить удаленный обход аутентификации. Все эти адреса были помечены как вредоносные. География атак обширна и включает Гонконг, США, Японию, Нидерланды, Китай, Германию, Сингапур и Таиланд.
Для защиты систем администраторам рекомендуется незамедлительно применить основные меры безопасности: установить последние исправления (патчи) и ограничить сетевой доступ к порту telnet, разрешив его только для доверенных клиентов. В качестве временных решений предлагается полностью отключить сервер
Изображение носит иллюстративный характер
Техническая суть проблемы заключается в отсутствии должной очистки входных данных в сервере
telnetd. В штатном режиме работы сервер вызывает исполняемый файл /usr/bin/login, который обычно запускается с правами root. В качестве последнего параметра этому файлу передается значение переменной окружения USER, полученное непосредственно от клиента. Ошибка кроется в том, что telnetd не проверяет и не очищает содержимое этой переменной перед передачей её в login(1). Механизм эксплойта основывается на манипуляции передаваемыми данными. Клиент отправляет специально сформированное значение переменной USER, содержащее строку
"-f root". Для передачи переменной окружения на сервер используются параметры telnet(1) -a или --login. В результате утилита login(1) интерпретирует параметр -f как команду на обход стандартных процессов аутентификации, что приводит к автоматическому входу клиента в систему под пользователем root. Хронология появления и обнаружения проблемы охватывает более десятилетия. Уязвимость была внесена в исходный код 19 марта 2015 года и официально выпущена в версии 1.9.3 12 мая 2015 года. Обнаружение и отчет об ошибке произошли только 19 января 2026 года. Национальная база данных уязвимостей NIST (NVD) предоставила подробное описание дефекта, подтвердив его статус. Согласно последним данным, активные атаки с использованием этой бреши наблюдались в течение последних 24 часов относительно момента публикации отчета.
Честь открытия и сообщения об уязвимости принадлежит исследователю безопасности Кю Нойшвайштейну (Kyu Neushwaistein), также известному как Карлос Кортес Альварес (Carlos Cortes Alvarez). Обсуждение технических деталей и последствий недостатка велось на список рассылки oss-security, где активное участие принимал Саймон Йозефссон (Simon Josefsson), контрибьютор проекта GNU. Эти специалисты сыграли ключевую роль в идентификации и анализе проблемы.
Компания GreyNoise, занимающаяся разведкой киберугроз, зафиксировала данные об активной эксплуатации уязвимости. Была отмечена активность с 21 уникального IP-адреса, пытавшегося выполнить удаленный обход аутентификации. Все эти адреса были помечены как вредоносные. География атак обширна и включает Гонконг, США, Японию, Нидерланды, Китай, Германию, Сингапур и Таиланд.
Для защиты систем администраторам рекомендуется незамедлительно применить основные меры безопасности: установить последние исправления (патчи) и ограничить сетевой доступ к порту telnet, разрешив его только для доверенных клиентов. В качестве временных решений предлагается полностью отключить сервер
telnetd или настроить InetUtils telnetd на использование пользовательской утилиты login(1), которая запрещает использование параметра '-f'.
