Ein kritischer Fehler im GNU InetUtils telnet Dämon ist nach fast 11 Jahren unbemerkt geblieben. als Katalysator CVE-2026-24061 und mit einer Schwere Punktzahl von 9.8 über 10 auf der CVSS-Skala, dieses Problem ermöglicht es Ihnen, den Authentifizierungsprozess zu vermeiden und Zugriff mit Root Privilegien in betroffenen Systemen.
Telnet ist das Programm, das Telnet-Verbindungen akzeptiert und als Brücke dient, um sich an ein Remote-System anzumelden; obwohl das Telnet-Protokoll alt ist und ohne Verschlüsselung, wird es immer noch in einigen eingebetteten Umgebungen und Management-Netzwerken verwendet, wo die grundlegende Einfachheit über die Sicherheit. Die entdeckte Schwachstelle liegt in der Art und Weise, wie Telnetd die USER-Umgebungsvariable an die binäre übermittelt/ usr / bin / loginohne richtige Reinigung. Der Dämon übergibt buchstäblich den Inhalt, den er vom Client als letztes Login-Argument erhält, und wenn dieser Inhalt als gültige Anmeldeoption interpretiert wird, kann er sein Verhalten ändern.
Insbesondere, wenn ein Kunde die Kette sendet "-f root" als USER-Wert und nutzt die telnet-Client-Option, die Umgebungsvariablen (z.-aoder--login), erhält der Login-Prozess diese Kette und interpretiert sie als Option-f, die Anmeldung anweist, um den angegebenen Benutzer als bereits authentifiziert zu markieren. Das Ergebnis ist ein direkter Eintrag als root, ohne dass das Passwort angefordert wird, was erklärt, warum die Fehlerklassifikation so hoch ist.
Die Quelle des Problems kann auf eine Änderung des Codes, der am 19. März 2015 erstellt wurde, zurückverfolgt werden, die als Teil der 1.9.3 Version endete, die im Mai desselben Jahres veröffentlicht wurde. Die Entdeckung wurde kürzlich von dem Forscher als Kyu Neushwaisstein (auch bekannt als Carlos Cortes Alvarez) identifiziert und öffentlich von GNU-Mitarbeiter Simon Josefsson auf der Mailingliste mitgeteilt oss-security. Der offizielle NIST-Eintrag beschreibt das Problem und klassifiziert es als eine Schwachstelle, die es ermöglicht, Remote-Authentifizierung zu vermeiden; es kann in der Schwachstelle Datenbank in NVD - CVE-2026-24061.
Für Manager und Sicherheitsbeamte gibt es zwei klare Botschaften: Erstens, überprüfen Sie, ob Ihre Umgebung betroffen Versionen von GNU InetUtils (von 1.9.3 bis 2.7 inklusive); zweitens, anwenden Patches oder aktualisieren Sie auf eine korrigierte Version, sobald sie verfügbar sind. Die GNU Inetutils Projektseite bietet Informationen über die Software und ihre Komponenten in GNU Inetutils und das Handbuch telnetd hilft Ihnen, das erwartete Verhalten des Dämons zu verstehen.
Als unmittelbare und palliative Lösungen empfiehlt es sich, den Zugriff auf den Telnet-Port durch Firewall-Regeln oder Zugriffskontrolllisten zu beschränken, den Telnetd-Service zu deaktivieren, wenn er nicht notwendig ist und gegebenenfalls eine Anmeldeversion verwenden, die die Option nicht erlaubt-foder dass sie ihre Argumente streng validiert. Eine weitere temporäre Alternative besteht darin, das Log-Binär mit einem Wrapper zu ersetzen, der die USER-Variable vor dem Aufruf filtert. Diese Maßnahmen verringern die Exposition und bieten endgültige Updates.
Jenseits des Patches und der technischen Gegenmaßnahmen sollten die Systeme auf Zeichen der Ausbeutung geprüft werden. Überprüfen Sie Zugriffsprotokolle und Protokolle, überprüfen Sie Auditdateien und suchen Sie nach neu erstellten Prozessen oder Konten mit hohen Privilegien sind Handlungen erforderlich, wenn das System vermutet wurde verletzt. In Umgebungen mit Telemetrie oder IDS / IPS kann die Erstellung spezifischer Signaturen oder Regeln zur Erkennung verdächtiger Ketten, die in Umgebungsvariablen gesendet werden, dazu beitragen, ausbeutende Versuche zu identifizieren.
In der Natur sind bereits Aktivitätsindikatoren beobachtet worden. Bei dieser Ausbeutung versucht die GreyNoise-Drohungsfirma: In den letzten 24 Stunden wurden 21 verschiedene IP-Adressen entdeckt, die versuchten, den Bypass mit der Option auszunutzen.-fauf Telnetd, und diese PIs kommen aus mehreren Ländern und wurden als schädlich markiert. Die Daten und Visualisierungen dieser Veranstaltungen sind auf dem GreyNoise Panel erhältlich. GreyNoise - Versuche entdeckt und in öffentlichen Konsultationen GreyNoise - IP-Details.
Dieser Vorfall hebt zwei wichtige Lektionen hervor: Zum einen kann eine scheinbar sichere Codezeile und unzureichende Validierung zu einer ernsten Lücke werden, die Jahre dauert; zum anderen die Notwendigkeit, die Abhängigkeit von unsicheren Design-Diensten, wie Telnet, für Alternativen, die Verschlüsselung und moderne Kontrollen bieten, zum Beispiel SSH. Kurzfristig sind die Anwendung von Patches und die Begrenzung des Netzwerkzugangs die besten Abwehrkräfte. Mittel- und langfristig wird die Planung der Migration aus veralteten Diensten und die Stärkung der Code-Review- und Sicherheitstests dazu beitragen, dass ähnliche Fehler so lange nicht erkannt werden.
In Kenntnis zu setzen und auf die in diesem Artikel genannten technischen Referenzen zuzugreifen: die Beschreibung des Ausfalls und seine Bewertung in NVD ist in NVD - CVE-2026-24061, technische Diskussion und Benachrichtigung in der oss-Sicherheitsliste erscheint in oss-security Das Engagement, das die Änderung eingeführt hat, ist im Projektarchiv verfügbar. Codeborg - Engagement des 19-mar-2015 und die öffentliche Ausbeutung fortzusetzen, kann die GreyNoise-Telemetrie bei Grauer Lärm. Wenn Sie Systeme verwalten, die betroffen sein könnten, priorisieren Sie die Minderung und forensische Überprüfung, bevor Sie einen deaktivierten Service wieder aktivieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...