Une vulnérabilité critique de contournement de l'authentification à distance (CVE-2026-24061, CVSS 9.8) a été découverte dans le service telnetd de GNU InetUtils, affectant toutes les versions de 1.9.3 à 2.7. La faille permet à des attaquants non authentifiés d'obtenir instantanément un accès root sur les systèmes concernés en exploitant une mauvaise gestion de la variable d'environnement USER. Le problème est resté non détecté pendant près de 11 ans et est maintenant activement sondé par des acteurs malveillants.

Impact

Gravité : Critique (CVSS 9.8)

Une exploitation réussie entraîne :

• compromission complète au niveau de la racine

• Accès distant non authentifié

• Aucune interaction avec l'utilisateur n'est requise

• Perte totale de confidentialité, d'intégrité et de disponibilité

Les systèmes utilisant telnetd et exposés à des réseaux non fiables présentent un risque élevé immédiat. L'insécurité inhérente à Telnet aggrave ce risque.

Détails techniques -

Mécanisme de vulnérabilité :

• Le serveur telnetd transmet la variable d'environnement USER fournie par le client directement à /usr/bin/login sans vérification.

• Un attaquant peut définir USER='-f root' et utiliser l'option Telnet -a ou --login pour transmettre cette valeur au serveur.

• Le programme de connexion interprète -f root comme un contournement de connexion de confiance, accordant un accès immédiat à l'interpréteur de commandes root sans authentification.

Cause première :

• Introduite dans un commit de code le 19 mars 2015 et livrée dans GNU InetUtils 1.9.3 (12 mai 2015).

• La vulnérabilité provient d'une mauvaise vérification des arguments et de l'expansion des variables dans le chemin de code de telnetd (telnetd/telnetd.c et les fonctions utilitaires associées).

Versions affectées :

• GNU InetUtils telnetd versions 1.9.3 à 2.7.

• Présente dans de nombreuses distributions Linux/UNIX ou dans des appareils qui intègrent Telnet pour une utilisation ancienne.

Activité et exploitation des menaces :

• Les rapports de renseignements sur les menaces indiquent que 21 adresses IP malveillantes uniques tentent activement d'exploiter la faille dans une fenêtre de 24 heures.

• Ces adresses proviennent de plusieurs régions, dont Hong Kong, les États-Unis, le Japon, les Pays-Bas, la Chine, l'Allemagne, Singapour et la Thaïlande.

• Cela démontre les premières étapes du balayage et les tentatives d'exploitation opportunistes sur l'internet.

• Le code d'exploitation public est déjà disponible sur GitHub, ce qui augmente la probabilité d'une exploitation massive.

Indicateurs de compromission (IoCs) -

Activité observée de l'attaquant :

• Connexions Telnet malveillantes avec USER='-f root'.

• Sessions Telnet utilisant l'indicateur -a ou --login pour transmettre des variables d'environnement.

• Connexions root inattendues sans PAM ou événements d'authentification de la piste d'audit.

Indicateurs de réseau :

• Trafic Telnet entrant suspect (TCP/23) en provenance de :

• Hong Kong, États-Unis, Japon, Pays-Bas, Chine, Allemagne, Singapour, Thaïlande.

Atténuation et recommandations

Désactiver telnetd

• Fortement recommandé dans la mesure du possible.

• Remplacer par SSH ou une autre méthode d'accès à distance sécurisée.

Restreindre l'accès Telnet

• Limiter l'accès aux seules adresses IP de confiance.

• Appliquer des règles de pare-feu ou de segmentation du réseau.

Patch / Mise à jour

• Appliquez les correctifs GNU InetUtils disponibles ou mettez à jour vers les versions supérieures à 2.7 une fois qu'elles seront entièrement publiées par les distributions.

Solutions temporaires

• Utilisez un /usr/bin/login personnalisé qui rejette le paramètre -f.

• Atténuez les vulnérabilités liées à l'injection d'arguments en vérifiant les entrées dans les scripts/services dérivés.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien prenez contact avec nous pour savoir comment vous pouvez protéger votre organisation.