En kritisk sårbarhet för förbikoppling av fjärrautentisering (CVE-2026-24061, CVSS 9.8) har upptäckts i GNU InetUtils telnetd-tjänst, vilket påverkar alla versioner från 1.9.3 till och med 2.7. Felet gör det möjligt för oautentiserade angripare att omedelbart få root-åtkomst på berörda system genom att utnyttja felaktig hantering av miljövariabeln USER. Problemet förblev oupptäckt i nästan 11 år och undersöks nu aktivt av illasinnade aktörer.
Påverkan - allvarlig
Allvarlighetsgrad: Kritisk (CVSS 9.8)
Framgångsrik exploatering resulterar i:
- Fullständig kompromettering på rotnivå
- Fjärråtkomst, oautentiserad åtkomst
- Ingen användarinteraktion krävs
- Fullständig förlust av sekretess, integritet och tillgänglighet
System som kör telnetd och är exponerade för icke betrodda nätverk löper omedelbart hög risk. Telnets inneboende osäkerhet förvärrar allvaret.
Tekniska detaljer
Sårbarhetsmekanism:
- Telnetd-servern skickar den klienttillhandahållna miljövariabeln USER direkt till /usr/bin/login utan att rensa den.
- En angripare kan ange USER='-f root' och använda Telnet-alternativen -a eller --login för att vidarebefordra detta värde till servern.
- Inloggningsprogrammet tolkar -f root som en betrodd inloggning, vilket ger omedelbar åtkomst till rotskalet utan autentisering.
Orsak till felet:
- Introducerades i en kodändring den 19 mars 2015 och levererades i GNU InetUtils 1.9.3 (12 maj 2015).
- Sårbarheten härrör från felaktig argumentrensning och variabelutvidgning i telnetd-kodvägen (telnetd/telnetd.c och relaterade verktygsfunktioner).
Berörda versioner:
- GNU InetUtils telnetd version 1.9.3 till och med 2.7.
- Finns i många Linux/UNIX-distributioner eller apparater som levererar Telnet för äldre användning.
Hotaktivitet och utnyttjande:
- Rapportering från Threat Intelligence visar att 21 unika skadliga IP-adresser aktivt försöker utnyttja felet inom ett 24-timmarsfönster.
- Dessa kommer från flera regioner, inklusive Hong Kong, USA, Japan, Nederländerna, Kina, Tyskland, Singapore och Thailand.
- Demonstrerar skanning i ett tidigt skede och opportunistiska exploateringsförsök över internet.
- Offentlig exploateringskod (PoC) finns redan tillgänglig på GitHub, vilket ökar sannolikheten för massutnyttjande.
Indikatorer på kompromettering (IoC)
Observerad angriparaktivitet:
- Skadliga Telnet-anslutningar med USER='-f root'.
- Telnet-sessioner som använder flaggan -a eller --login för att vidarebefordra miljövariabler.
- Oväntade root-inloggningar utan autentiseringshändelser från PAM eller revisionsspår.
Indikatorer för nätverk:
- Misstänkt inkommande Telnet-trafik (TCP/23) från:
- Hong Kong, USA, Japan, Nederländerna, Kina, Tyskland, Singapore, Thailand.
Begränsning och rekommendationer
Inaktivera telnetd
- Rekommenderas starkt när det är möjligt.
- Ersätt med SSH eller en annan säker fjärråtkomstmetod.
Begränsa Telnet-åtkomst
- Begränsa åtkomsten till endast betrodda IP-adresser.
- Tillämpa brandväggs- eller nätverkssegmenteringsregler.
Patch / Uppdatering
- Tillämpa tillgängliga GNU InetUtils-patchar eller uppgradera till versioner utöver 2.7 när de är helt publicerade av distributioner.
Temporära lösningar
- Använd en anpassad /usr/bin/login som avvisar parametern -f.
- Minska sårbarheter för argumentinjektion genom att rensa indata i härledda skript/tjänster.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att fastställa vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, kontakta din kontoansvarige, eller alternativt kontakta oss för att ta reda på hur du kan skydda din organisation.