Una vulnerabilitat al paquet GNU InetUtils afectava totes les versions des de la 1.9.3 fins a la 2.7 incloses.
El telnet semblava cosa del passat, juntament amb els mòdems i la connexió telefònica, però de sobte s'ha convertit en la font d'una vulnerabilitat greu. Es va descobrir un error a GNU InetUtils que permet l'inici de sessió remot com a root sense contrasenya, simplement enviant una variable d'entorn especialment dissenyada.
El problema afecta el servidor telnetd, que forma part de GNU InetUtils. Passa el valor de la variable USER rebuda del client al programa d'inici de sessió sense cap validació. Això es pot explotar si el client envia la cadena "-f root" com a USER i es connecta amb el paràmetre telnet -a o --login. Com a resultat, l'inici de sessió tracta això com un indicador de servei, omet el procediment d'autenticació estàndard i inicia la sessió automàticament de l'usuari com a root.
A la vulnerabilitat se li ha assignat l'identificador CVE-2026-24061 i una puntuació CVSS de 9.8. Totes les versions de GNU InetUtils, des de la 1.9.3 fins a la 2.7, estan en risc. L'error ha estat present al projecte durant gairebé 11 anys, des del maig del 2015, però tot just s'ha descobert ara. Essencialment, aquest és un exemple clàssic d'una vulnerabilitat de la vella escola, on una cadena perillosa es passa sense filtrar a una utilitat del sistema amb privilegis de root.
Els autors de l'avís recomanen explícitament evitar telnetd completament, restringir l'accés al port telnet a clients de confiança i instal·lar el pegat o actualitzar a una versió que solucioni el problema tan aviat com sigui possible. Una solució temporal podria ser desactivar completament telnetd o utilitzar una versió personalitzada d'inici de sessió que no admeti el paràmetre "-f".
La vulnerabilitat va ser descoberta per l'investigador Carlos Cortes Alvarez, i els desenvolupadors de GNU InetUtils van preparar i finalitzar un pegat el gener de 2026. Les correccions inclouen la neteja de totes les variables utilitzades en la formació de l'ordre d'inici de sessió, cosa que fa impossibles aquests atacs.
La història sembla gairebé simbòlica: un protocol obsolet, un servei oblidat i un error lògic clàssic van conduir a un compromís complet del sistema. És un altre recordatori que fins i tot les tecnologies "antigues" poden seguir sent una amenaça real si encara s'executen en producció.
Immediatament després de la publicació de la vulnerabilitat, l'equip de recerca va desplegar sensors honeypot per rastrejar els intents d'explotació reals. Els atacants van respondre ràpidament. Durant més de 18 hores de monitorització, es van registrar 60 intents de pirateria informàtica des de 18 ubicacions úniques. Adreces IPSegons la plataforma Censys, es va trobar aproximadament tres mil sistemes a tot el món potencialment vulnerables, tot i que una part important d'aquests probablement són honeypots.
L'anàlisi del trànsit interceptat va revelar una imatge força mixta. L'atacant més actiu era el de l'adreça 178.16.53.82, que va dur a terme 12 sessions contra 10 objectius diferents. Les seves accions estaven totalment automatitzades: després d'obtenir accés, executaven un conjunt estàndard d'ordres de reconeixement, com ara uname -a, id i la lectura de /proc/cpuinfo i /etc/passwd. Una característica distintiva era l'embolcall de la sortida de l'ordre amb marcadors especials per a l'anàlisi posterior, indicant clarament una botnet o un sistema automatitzat de recopilació de dades.
L'atacant de 216.106.186.24 va resultar més sofisticat. Va atacar una subxarxa específica i va intentar instal·lar una clau SSH per a accés persistent, així com descarregar i executar un script de Python des d'un servidor extern, presumiblement de criptomineria o programari maliciós de botnet. Tanmateix, tots dos intents van fallar: el directori .ssh no existia al sistema de destinació i també faltaven curl i Python.
Són especialment interessants dos atacants amb les adreces 167.172.111.135 i 165.22.30.48. A diferència dels altres, no van intentar obtenir accés root immediatament, sinó que van experimentar amb els comptes nobody, daemon i fins i tot nonexistent123. Els retards entre sessions i la lògica de les seves accions indiquen una persona real al teclat. Probablement es tracta de pirates informàtics més experimentats, familiaritzats amb sistemes de detecció d'intrusions i equipats amb tècniques d'escalada de privilegis.
Alguns atacants van demostrar una seguretat operativa sorprenentment laxa. Per exemple, l'atacant de 67.220.95.16 va utilitzar la mateixa adreça IP tant per a l'explotació com per allotjar el servidor de programari maliciós. D'altres van revelar accidentalment els seus noms d'amfitrió a través de la variable DISPLAY: un s'executava des d'un sistema anomenat MiniBear, un altre des d'una màquina virtual anomenada shared-vm2.localdomain i un tercer es connectava directament des d'un entorn gràfic complet de Kali. Linux.
En general, el nivell d'habilitat dels atacants era força baix. De les 18 fonts d'atac, només unes poques van mostrar signes de professionalitat. La majoria utilitzaven eines automatitzades senzilles o literalment tocaven tecles seguint instruccions en línia. El sistema de detecció d'intrusions de Suricata va detectar amb èxit el moment en què un dels atacants va obtenir accés root, cosa que confirma encara més la importància de la defensa multicapa i la supervisió del trànsit de xarxa.
Els investigadors assenyalen que aquesta vulnerabilitat, d'una banda, va donar als pirates informàtics aficionats l'oportunitat de practicar i, de l'altra, va permetre als especialistes en seguretat recopilar dades valuoses sobre les tàctiques i eines actuals dels atacants.
més: https://www.securitylab.ru/news/568478.php
Font: linux.org.ru
