telnetd의 취약점으로 인해 인증 없이 루트 연결이 가능합니다.

GNU InetUtils 제품군의 telnetd 서버에서 취약점이 발견되었습니다. 이 취약점을 이용하면 루트를 포함한 모든 사용자가 암호 확인 없이 연결할 수 있습니다. 아직 CVE 식별자가 할당되지 않았습니다. 이 취약점은 InetUtils 버전 1.9.3(2015)부터 존재했으며 현재 릴리스 2.7.0에는 패치가 적용되지 않았습니다. 수정 사항은 패치(1, 2)에서 확인할 수 있습니다.

이 문제는 telnetd 프로세스가 암호를 확인하기 위해 "/usr/bin/login" 유틸리티를 호출하고, 클라이언트가 연결할 때 지정한 사용자 이름을 인수로 전달하는 과정에서 발생합니다. 섬기는 사람"로그인" 유틸리티는 인증 없이 로그인할 수 있는 "-f" 옵션을 지원합니다(이 옵션은 사용자가 이미 인증된 경우에 사용하도록 설계되었습니다). 따라서 사용자 이름 대신 "-f" 옵션을 입력하면 비밀번호 확인 없이 로그인할 수 있습니다.

일반적인 연결에서는 "-f root"와 같은 사용자 이름을 사용할 수 없지만, Telnet에는 "-a" 옵션으로 활성화되는 자동 연결 모드가 있습니다. 이 모드에서는 사용자 이름이 명령줄에서 직접 입력되는 것이 아니라 USER 환경 변수를 통해 전달됩니다. 로그인 유틸리티가 호출될 때, 이 환경 변수의 값은 추가적인 검사나 특수 문자 이스케이프 처리 없이 그대로 사용됩니다. 따라서 루트 사용자로 연결하려면 USER 환경 변수를 "-f root"로 설정하고 "-a" 옵션을 사용하여 Telnet 서버에 연결하면 됩니다. 예: $ USER='-f root' telnet -a server_name

해당 취약점을 야기한 변경 사항은 2015년 3월 telnetd 코드에 추가되었으며, Kerberos 인증 없이 자동 로그인 모드에서 사용자 이름을 확인할 수 없었던 문제를 해결하기 위한 것이었습니다. 해결책으로 환경 변수를 통해 자동 로그인 모드에 사용자 이름을 전달하는 기능이 추가되었지만, 환경 변수에 저장된 사용자 이름의 유효성 검사가 누락되었습니다.

출처 : opennet.ru