Un échec critique dans le GNU InetUtils telnet démon est apparu après être resté inaperçu pendant près de 11 ans. Catalysé comme CVE-2026-24061 et avec un score de sévérité de 9,8 sur 10 sur l'échelle CVSS, ce problème vous permet d'éviter le processus d'authentification et d'obtenir un accès avec les privilèges root dans les systèmes affectés.
Telnet est le programme qui accepte les connexions Telnet et sert de pont pour se connecter à un système distant; bien que le protocole Telnet soit ancien et sans chiffrement, il est toujours utilisé dans certains environnements intégrés et réseaux de gestion où la simplicité de base sur la sécurité. La vulnérabilité découverte réside dans la façon dont telnetd transmet la variable d'environnement USER au binaire/ usr / bin / loginsans nettoyage approprié. Le démon passe littéralement le contenu qu'il reçoit du client comme dernier argument de connexion, et si ce contenu est interprété comme une option de connexion valide, il peut changer son comportement.
En particulier, si un client envoie la chaîne "-f racine" comme valeur USER et utilise l'option client telnet qui envoie des variables d'environnement (p. ex.-aou--login), le processus de connexion reçoit cette chaîne et l'interprète comme l'option-f, qui donne l'instruction de se connecter pour marquer l'utilisateur spécifié comme déjà authentifié. Le résultat est une entrée directe comme racine sans mot de passe demandé, ce qui explique pourquoi la classification des bogues est si élevée.
La source du problème est une modification apportée au code le 19 mars 2015, qui a fini par faire partie de la version 1.9.3 publiée en mai de la même année. La découverte a été récemment signalée par le chercheur identifié comme Kyu Neushwaisstein (également connu sous le nom de Carlos Cortes Alvarez) et communiquée publiquement par Simon Josefsson, collaborateur de GNU sur la liste de diffusion oss-sécurité. L'entrée NIST officielle décrit le problème et le classe comme une vulnérabilité qui permet d'éviter l'authentification à distance; elle peut être trouvée dans la base de données de vulnérabilité dans NVD - CVE-2026-24061.
Pour les gestionnaires et les responsables de la sécurité, il y a deux messages clairs : d'abord, vérifiez si votre environnement exécute les versions affectées de GNU InetUtils (de 1.9.3 à 2.7 inclusivement); ensuite, appliquez des correctifs ou mettez à jour une version corrigée dès qu'ils sont disponibles. La page du projet GNU Enetutils fournit des informations sur le logiciel et ses composants dans GNU Inetutils et le manuel telnetd vous aide à comprendre le comportement attendu du démon.
En tant que solutions immédiates et palliatives, il est conseillé de restreindre l'accès au port Telnet par des règles de pare-feu ou des listes de contrôle d'accès, de désactiver le service telnetd lorsque ce n'est pas nécessaire et, si nécessaire, de le configurer pour utiliser une version de connexion qui ne permet pas l'option-fou qu'il valide strictement ses arguments. Une autre alternative temporaire est de remplacer le binaire log par un wrapper qui filtre la variable USER avant de l'appeler. Ces mesures réduisent l'exposition tout en fournissant des mises à jour finales.
Au-delà du patch et des contre-mesures techniques, les systèmes devraient être vérifiés pour les signes d'exploitation. Examinez les dossiers d'accès et les dossiers d'enregistrement, vérifiez les dossiers de vérification et recherchez des processus ou comptes nouvellement créés avec des privilèges élevés si le système est soupçonné d'avoir été violé. Dans les environnements avec télémétrie ou IDS / IPS, créer des signatures ou des règles spécifiques pour détecter les chaînes suspectes envoyées dans les variables d'environnement peut aider à identifier les tentatives d'exploitation.
Des indicateurs d'activité ont déjà été observés. La société de renseignements sur les menaces de GreyNoise enregistre les tentatives d'exploitation : au cours des dernières 24 heures, 21 adresses IP différentes ont été détectées en essayant d'exploiter le contournement en utilisant l'option.-fsur telnetd, et ces IP viennent de plusieurs pays et ont été marqués comme malicieux. Les données et visualisations de ces événements sont disponibles sur le panneau GreyBruit à Bruit gris - tentatives détectées et lors de consultations publiques GreyBruit - Détails IP.
Cet incident met en lumière deux leçons importantes: d'une part, comment une ligne de code apparemment sûre et une validation insuffisante peuvent devenir un vide grave qui dure des années; d'autre part, la nécessité de réduire la dépendance à l'égard de services de conception non sûrs, comme Telnet, pour des solutions de rechange offrant le chiffrement et des contrôles modernes, par exemple SSH. À court terme, appliquer des correctifs et limiter l'accès au réseau sont les meilleures défenses. À moyen et à long terme, la planification de la migration hors des services obsolètes et le renforcement des pratiques d'examen des codes et d'essai de sécurité aideront à empêcher que des erreurs semblables ne restent non détectées pendant si longtemps.
Pour être tenu informé et accéder aux références techniques mentionnées dans cet article: la description de la défaillance et son évaluation dans NVD est en NVD - CVE-2026-24061, discussion technique et notification dans la liste de sécurité oss apparaît dans oss-sécurité, l'engagement qui a introduit le changement est disponible dans le dépôt Codeborg - engagement du 19-mar-2015 et pour poursuivre l'exploitation publique, la télémétrie GreyNoise peut être consultée à Bruit gris. Si vous gérez des systèmes qui pourraient être affectés, prioriser l'atténuation et la vérification médico-légale avant de réactiver un service de désactivation.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...