Компьютеры с открытым протоколом Telnet находятся в непосредственной опасности компрометации из-за критической уязвимости, позволяющей злоумышленникам обойти аутентификацию.
Протокол удаленного доступа Telnet давно заменен более безопасным и зашифрованным SSH, однако многие устройства Интернета вещей (IoT) и встраиваемые системы по-прежнему поставляются с открытым в интерфейсе локальной сети (LAN) Telnet для целей отладки.
Ситуацию усугубляет то, что уязвимость, отслеживаемая как CVE-2026-24061, тривиально эксплуатируется удаленно, и поскольку она существует в кодовой базе уже 11 лет, начиная с версии 1.9.3, она, вероятно, затрагивает множество устройств, которые больше не поддерживаются и не получат обновлений прошивки.
Тривиальная эксплуатация
«Сервер telnetd вызывает /usr/bin/login (обычно работающий от имени root), передавая в качестве последнего параметра значение переменной окружения USER, полученное от клиента», — сообщил Саймон Йозефссон, контрибьютор GNU, представивший исправление, в списке рассылки OSS-SEC. «Если клиент передает тщательно сформированное значение переменной окружения USER — строку “-f root” — и использует параметр -a или --login команды telnet(1) для отправки этого окружения USER на сервер, клиент будет автоматически авторизован как root, минуя стандартные процедуры аутентификации».
Иными словами, эксплойт достигается с помощью простой команды: USER=‘-f root’ telnet -a [ip_хоста]. Это работает не только против удаленных систем, но и может служить эксплойтом для повышения привилегий на локальной машине, если запущен сервис Telnet (telnetd).
Telnet является частью пакета inetutils — набора сетевых утилит GNU, поставляемого со всеми системами на базе Linux и UNIX. Пользователям рекомендуется как можно скорее применить патч или обновиться до исправленной версии, предлагаемой их дистрибутивом. В качестве временной меры смягчения последствий рекомендуется либо полностью отключить сервис Telnet, либо ограничить доступ к нему, разрешив его только для IP-адресов из белого списка.
Сканирование корпоративных сетей
Сервер Telnet в наши дни никогда не должен быть доступен из Интернета, однако неправильно сконфигурированные серверы и устройства IoT с включенным Telnet продолжают существовать. Они будут легко скомпрометированы IoT-червями и вредоносным ПО ботнетов. Сервис мониторинга вредоносного трафика GreyNoise уже фиксирует попытки эксплуатации этой уязвимости.
Чаще Telnet обнаруживается внутри локальных сетей, несмотря на то, что, будучи устаревшей программой, он вообще не должен использоваться. Организациям следует сканировать свои сети и немедленно изолировать и блокировать межсетевым экраном устройства с поддержкой Telnet, поскольку злоумышленникам достаточно заражения вредоносным ПО любого другого компьютера в сети, чтобы получить возможность их эксплуатации. Для выполнения этой атаки не требуются специальные привилегии, поскольку подключения telnet обычно могут инициировать пользователи с низкими привилегиями.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
