Zranitelnost v balíčku GNU InetUtils postihla všechny verze od 1.9.3 do 2.7 včetně.
Telnet se zdál být minulostí, stejně jako modemy a dial-up, ale náhle se stal zdrojem vážné zranitelnosti. V GNU InetUtils byla objevena chyba, která umožňuje vzdálené přihlášení root uživatele bez hesla, pouhým odesláním speciálně vytvořené proměnné prostředí.
Problém se týká serveru telnetd, který je součástí GNU InetUtils. Předává hodnotu proměnné USER přijaté od klienta přihlašovacímu programu bez jakéhokoli ověření. Toho lze zneužít, pokud klient odešle řetězec „-f root“ jako USER a připojí se s parametrem telnet -a nebo --login. V důsledku toho program login toto považuje za příznak služby, přeskočí standardní ověřovací proceduru a automaticky přihlásí uživatele jako root.
Zranitelnosti byl přiřazen identifikátor CVE-2026-24061 a má skóre 9.8 v systému CVSS. Ohroženy jsou všechny verze GNU InetUtils, od verze 1.9.3 do 2.7. Chyba je v projektu přítomna téměř 11 let, od května 2015, ale byla objevena až nyní. V podstatě se jedná o klasický příklad staré školy, kdy je nebezpečný řetězec předáván nefiltrovaný systémovému nástroji s root oprávněními.
Autoři upozornění výslovně doporučují zcela se vyhnout nástroji telnetd, omezit přístup k portu telnet pouze na důvěryhodné klienty a co nejdříve nainstalovat opravu nebo upgradovat na verzi, která problém řeší. Dočasným řešením by mohlo být úplné zakázání nástroje telnetd nebo použití vlastní verze přihlášení, která nepodporuje parametr „-f“.
Zranitelnost objevil výzkumník Carlos Cortes Alvarez a vývojáři GNU InetUtils v lednu 2026 připravili a finalizovali opravu. Opravy zahrnují sanitizaci všech proměnných použitých při formování přihlašovacího příkazu, což znemožňuje takové útoky.
Příběh se zdá být téměř symbolický: zastaralý protokol, zapomenutá služba a klasická logická chyba vedly k úplnému narušení systému. Je to další připomínka toho, že i „starodávné“ technologie mohou i nadále představovat skutečnou hrozbu, pokud stále běží v produkčním prostředí.
Ihned po zveřejnění zranitelnosti nasadil výzkumný tým senzory typu honeypot, aby sledoval skutečné pokusy o zneužití. Útočníci reagovali rychle. Během 18 hodin monitorování bylo zaznamenáno 60 pokusů o hackerský průnik z 18 unikátních míst. IP adresyPodle platformy Censys bylo po celém světě shledáno přibližně tři tisíce systémů potenciálně zranitelných, ačkoli značná část z nich jsou pravděpodobně honeypoty.
Analýza zachyceného provozu odhalila poněkud smíšený obraz. Nejaktivnějším útočníkem byl útočník z adresy 178.16.53.82, který provedl 12 útoků proti 10 různým cílům. Jeho akce byly plně automatizované: po získání přístupu spustili standardní sadu průzkumných příkazů, jako například uname -a, id a čtení /proc/cpuinfo a /etc/passwd. Charakteristickým rysem bylo obalení výstupu příkazu speciálními značkami pro následnou analýzu, což jasně naznačovalo botnet nebo automatizovaný systém sběru dat.
Útočník z adresy 216.106.186.24 se ukázal být sofistikovanější. Zaměřil se na konkrétní podsíť a pokusil se nainstalovat SSH klíč pro trvalý přístup a také stáhnout a spustit Python skript z externího serveru – pravděpodobně šlo o malware pro těžbu kryptoměn nebo botnet. Oba pokusy však selhaly: adresář .ssh v cílovém systému neexistoval a chyběly také kódy curl a Python.
Obzvláště zajímaví jsou dva útočníci s adresami 167.172.111.135 a 165.22.30.48. Na rozdíl od ostatních se nepokusili okamžitě získat root přístup, ale experimentovali s účty nobody, daemon a dokonce i nonexistent123. Prodlevy mezi relacemi a logika jejich akcí naznačují, že u klávesnice sedí živá osoba. Pravděpodobně se jedná o zkušenější hackeře, obeznámené se systémy detekce narušení a vybavené technikami eskalace oprávnění.
Někteří útočníci prokázali až překvapivě laxní provozní zabezpečení. Například útočník z adresy 67.220.95.16 použil stejnou IP adresu jak pro zneužití, tak pro hostování malwarového serveru. Jiní omylem odhalili své názvy hostitelů prostřednictvím proměnné DISPLAY: jeden běžel ze systému s názvem MiniBear, další z virtuálního počítače s názvem shared-vm2.localdomain a třetí se připojil přímo z plnohodnotného grafického prostředí Kali. Linux.
Celkově byla úroveň dovedností útočníků poměrně nízká. Z 18 zdrojů útoku jen několik jich vykazovalo známky profesionality. Většina používala jednoduché automatizované nástroje nebo doslova ťukala na klávesy podle online pokynů. Systém detekce narušení Suricata úspěšně detekoval okamžik, kdy jeden z útočníků získal root přístup, což dále potvrzuje důležitost vícevrstvé obrany a monitorování síťového provozu.
Výzkumníci poznamenávají, že tato zranitelnost na jedné straně poskytla amatérským hackerům příležitost k procvičování a na druhé straně umožnila bezpečnostním specialistům shromáždit cenné údaje o současných taktikách a nástrojích útočníků.
Pro více informací: https://www.securitylab.ru/news/568478.php
Zdroj: linux.org.ru
