Une vulnérabilité a été découverte dans le serveur telnetd de la suite GNU InetUtils. Cette vulnérabilité permet une connexion en tant qu'utilisateur quelconque, y compris root, sans vérification de mot de passe. Aucun identifiant CVE n'a encore été attribué. La vulnérabilité est présente depuis la version 1.9.3 d'InetUtils (2015) et n'est toujours pas corrigée dans la version actuelle 2.7.0. Un correctif est disponible dans les patchs (1, 2).
Le problème est dû au fait que, pour vérifier le mot de passe, le processus telnetd appelle l'utilitaire « /usr/bin/login » en lui passant comme argument le nom d'utilisateur spécifié par le client lors de la connexion. serveurL'utilitaire « login » prend en charge l'option « -f », qui permet de se connecter sans authentification (cette option est conçue pour être utilisée lorsque l'utilisateur est déjà authentifié). Par conséquent, en remplaçant le nom d'utilisateur par l'option « -f », vous pouvez vous connecter sans vérification de mot de passe.
Avec une connexion normale, il est impossible d'utiliser un nom d'utilisateur comme « -f root ». Cependant, Telnet dispose d'un mode de connexion automatique activé par l'option « -a ». Dans ce mode, le nom d'utilisateur n'est pas saisi en ligne de commande, mais transmis via la variable d'environnement USER. Lors de l'appel à l'utilitaire de connexion, la valeur de cette variable d'environnement est utilisée sans vérification supplémentaire ni échappement des caractères spéciaux. Par conséquent, pour se connecter en tant qu'utilisateur root, il suffit de définir la variable d'environnement USER sur « -f root » et de se connecter au serveur Telnet avec l'option « -a » : `$ USER='-f root' telnet -a nom_du_serveur`
La modification à l'origine de la vulnérabilité a été apportée au code de telnetd en mars 2015 et corrigeait un problème empêchant la détermination du nom d'utilisateur en mode de connexion automatique sans authentification Kerberos. Pour pallier ce problème, la possibilité de transmettre le nom d'utilisateur via une variable d'environnement a été ajoutée, mais la validation de cette variable a été omise.
Source: opennet.ru
