Eine kritische Sicherheitslücke zur Umgehung der Authentifizierung (CVE-2026-24061, CVSS 9.8) wurde im GNU InetUtils telnetd Dienst entdeckt. Betroffen sind alle Versionen von 1.9.3 bis 2.7. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich auf den betroffenen Systemen sofort Root-Zugriff zu verschaffen, indem sie die unsachgemäße Handhabung der Umgebungsvariable USER ausnutzen. Das Problem blieb fast 11 Jahre lang unentdeckt und wird nun aktiv von böswilligen Akteuren untersucht.
Auswirkungen.
Schweregrad: Kritisch (CVSS 9.8)
Eine erfolgreiche Ausnutzung führt zu:
- Vollständige Kompromittierung der Root-Ebene
- Entfernter, unauthentifizierter Zugriff
- Keine Benutzerinteraktion erforderlich
- Vollständiger Verlust von Vertraulichkeit, Integrität und Verfügbarkeit
Systeme, auf denen telnetd läuft und die mit nicht vertrauenswürdigen Netzwerken verbunden sind, sind unmittelbar einem hohen Risiko ausgesetzt. Die inhärente Unsicherheit von Telnet verschärft das Problem.
Technische Details.
Mechanismus der Schwachstelle:
- Der telnetd-Server übergibt die vom Client bereitgestellte Umgebungsvariable USER direkt an /usr/bin/login, ohne sie zu säubern.
- Ein Angreifer kann USER='-f root' setzen und die Telnet-Option -a oder --login verwenden, um diesen Wert an den Server weiterzuleiten.
- Das Login-Programm interpretiert -f root als einen vertrauenswürdigen Login-Bypass und gewährt sofortigen Root-Shell-Zugriff ohne Authentifizierung.
Hauptursache:
- Eingeführt in einem Code-Commit am 19. März 2015 und ausgeliefert in GNU InetUtils 1.9.3 (12. Mai 2015).
- Die Sicherheitslücke entsteht durch unsachgemäße Argumentenbereinigung und Variablenexpansion im telnetd-Codepfad (telnetd/telnetd.c und verwandte Dienstprogramme).
Betroffene Versionen:
- GNU InetUtils telnetd Versionen 1.9.3 bis 2.7.
- Vorhanden in vielen Linux/UNIX-Distributionen oder -Appliances, die Telnet für den Legacy-Einsatz bereitstellen.
Bedrohungsaktivität und Ausnutzung:
- Die Berichte der Bedrohungsdatenbank weisen auf 21 eindeutige bösartige IP-Adressen hin, die innerhalb eines Zeitfensters von 24 Stunden aktiv versuchen, die Schwachstelle auszunutzen.
- Diese stammen aus verschiedenen Regionen, darunter Hongkong, USA, Japan, Niederlande, China, Deutschland, Singapur und Thailand.
- Dies zeigt, dass die Schwachstelle bereits in einem frühen Stadium gescannt und opportunistisch über das Internet ausgenutzt wird.
- Öffentlicher Exploit-Code (PoCs) ist bereits auf GitHub verfügbar, was die Wahrscheinlichkeit eines Massenangriffs erhöht.
Indikatoren für die Kompromittierung (IoCs) -
Beobachtete Angreiferaktivität:
- Böswillige Telnet-Verbindungen mit USER='-f root'.
- Telnet-Sitzungen mit dem Flag -a oder --login zur Weiterleitung von Umgebungsvariablen.
- Unerwartete Root-Anmeldungen ohne PAM- oder Audit-Trail-Authentifizierungsereignisse.
Netzwerk-Indikatoren:
- Verdächtiger eingehender Telnet-Verkehr (TCP/23) von:
- Hongkong, USA, Japan, Niederlande, China, Deutschland, Singapur, Thailand.
Abhilfemaßnahmen und Empfehlungen -
Deaktivieren Sie telnetd
- Dringend empfohlen, wo immer möglich.
- Ersetzen Sie es durch SSH oder eine andere sichere Fernzugriffsmethode.
Telnet-Zugang einschränken
- Beschränken Sie den Zugang nur auf vertrauenswürdige IP-Adressen.
- Wenden Sie Firewall- oder Netzwerksegmentierungsregeln an.
Patchen / Aktualisieren
- Wenden Sie verfügbare GNU InetUtils-Patches an oder aktualisieren Sie auf Versionen über 2.7 hinaus, sobald diese vollständig von den Distributoren veröffentlicht wurden.
Vorübergehende Workarounds
- Verwenden Sie ein benutzerdefiniertes /usr/bin/login, das den Parameter -f zurückweist.
- Entschärfen Sie Schwachstellen bei der Argumenteninjektion, indem Sie die Eingaben in abgeleiteten Skripten/Diensten bereinigen.
Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder nehmen Sie Kontakt auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.