È stata scoperta una vulnerabilità nel server telnetd della suite GNU InetUtils. Questa vulnerabilità consente la connessione come qualsiasi utente, incluso root, senza verifica della password. Non è ancora stato assegnato un identificatore CVE. La vulnerabilità è presente dalla versione 1.9.3 di InetUtils (2015) e non è stata ancora patchata nella versione corrente 2.7.0. Una correzione è disponibile nelle patch (1, 2).
Il problema è causato dal fatto che per controllare la password, il processo telnetd chiama l'utilità "/usr/bin/login", passando come argomento il nome utente specificato dal client al momento della connessione a serverL'utilità "login" supporta l'opzione "-f", che consente l'accesso senza autenticazione (questa opzione è pensata per essere utilizzata quando l'utente è già stato autenticato). Pertanto, sostituendo l'opzione "-f" al nome utente, è possibile connettersi senza la verifica della password.
Con una connessione normale, non è possibile utilizzare un nome utente come "-f root", ma Telnet dispone di una modalità di connessione automatica attivata dall'opzione "-a". In questa modalità, il nome utente non viene preso dalla riga di comando, ma viene passato tramite la variabile d'ambiente USER. Quando è stata richiamata l'utilità di login, il valore di questa variabile d'ambiente è stato sostituito senza ulteriori controlli e senza caratteri speciali di escape. Pertanto, per connettersi come utente root, è sufficiente impostare la variabile d'ambiente USER su "-f root" e connettersi al server Telnet utilizzando l'opzione "-a": $ USER='-f root' telnet -a nome_server
La modifica che ha introdotto la vulnerabilità è stata aggiunta al codice telnetd a marzo 2015 e ha risolto un problema che impediva la determinazione del nome utente in modalità di accesso automatico senza autenticazione Kerberos. Come soluzione, è stato aggiunto il supporto per il passaggio del nome utente per la modalità di accesso automatico tramite una variabile d'ambiente, ma è stato omesso un controllo di convalida per il nome utente dalla variabile d'ambiente.
Fonte: opennet.ru
