Логин, пробел, дефис, root. Баг в telnet позволяет захватить компьютер без пароля

Казалось бы, telnet давно ушел в прошлое вместе с модемами и dial-up, но именно он внезапно стал источником серьезной уязвимости. В GNU InetUtils обнаружен баг, который позволяет удаленно войти в систему под root без пароля, просто отправив специально сформированное значение переменной окружения.

Проблема затрагивает telnetd сервер, входящий в состав GNU InetUtils. Он передает программе login значение переменной USER, полученной от клиента, без какой-либо проверки. Этим можно воспользоваться, если клиент отправит строку «-f root» в качестве USER и подключится с параметром telnet -a или --login. В результате login воспринимает это как служебный флаг, пропускает стандартную процедуру аутентификации и автоматически авторизует пользователя как root.

Уязвимость получила идентификатор CVE-2026-24061 и оценку по CVSS: 9.8. Под угрозой находятся все версии GNU InetUtils, начиная с 1.9.3 и заканчивая 2.7 включительно. Баг присутствует в проекте почти 11 лет, с мая 2015 года, но был выявлен только сейчас. По сути, это классический пример уязвимости старой школы, где опасная строка без фильтрации передается системной утилите с привилегиями root.

Авторы advisory прямо рекомендуют вообще не использовать telnetd, ограничивать доступ к telnet-порту только доверенными клиентами и как можно быстрее установить исправление или обновиться до версии, в которой устранена проблема. Временным решением может быть полное отключение telnetd или использование кастомной версии login, которая не поддерживает параметр «-f».

Уязвимость обнаружил исследователь Карлос Кортес Альварес, патч был подготовлен и доработан разработчиками GNU InetUtils в январе 2026 года. Исправления включают санитизацию всех переменных, которые используются при формировании команды вызова login, чтобы подобные атаки стали невозможны в принципе.

История выглядит почти символично: устаревший протокол, забытый сервис и классическая логическая ошибка привели к полной компрометации системы. Еще одно напоминание о том, что даже «древние» технологии могут оставаться реальной угрозой, если они до сих пор работают в продакшне.

Сразу после публикации информации об уязвимости команда исследователей развернула honeypot-сенсоры, чтобы отследить реальные попытки эксплуатации. Атакующие не заставили себя ждать. За 18 часов наблюдений было зафиксировано 60 попыток взлома с 18 уникальных IP-адресов. По данным платформы Censys, потенциально уязвимыми оказались около трёх тысяч систем по всему миру, хотя значительная часть из них, вероятно, тоже honeypot-ловушки.

Анализ перехваченного трафика показал весьма пёструю картину. Самым активным оказался атакующий с адреса 178.16.53.82, который провёл 12 сессий против 10 различных целей. Его действия были полностью автоматизированы: после получения доступа запускался стандартный набор команд разведки вроде uname -a, id, чтения /proc/cpuinfo и /etc/passwd. Характерной особенностью стала обёртка вывода команд специальными маркерами для последующего парсинга, что явно указывает на ботнет или автоматизированную систему сбора данных.

Более изощрённым оказался злоумышленник с адреса 216.106.186.24. Он сконцентрировался на конкретной подсети и попытался установить SSH-ключ для постоянного доступа, а также загрузить и запустить Python-скрипт с внешнего сервера — предположительно, вредоносное ПО для криптомайнинга или ботнета. Правда, обе попытки провалились: на целевой системе не существовало директории .ssh, а также отсутствовали curl и python.

Особый интерес представляют два атакующих с адресами 167.172.111.135 и 165.22.30.48. В отличие от остальных, они не пытались сразу получить root-доступ, а экспериментировали с учётными записями nobody, daemon и даже несуществующей nonexistent123. Задержки между сессиями и логика действий указывают на живого человека за клавиатурой. Вероятно, это более опытные хакеры, которые знают о системах обнаружения вторжений и имеют в запасе техники повышения привилегий.

Некоторые атакующие демонстрировали поразительную небрежность в операционной безопасности. Например, злоумышленник с адреса 67.220.95.16 использовал один и тот же IP как для эксплуатации, так и для размещения сервера с вредоносным ПО. Другие случайно раскрывали имена своих хостов через переменную DISPLAY: один работал с системы под названием MiniBear, другой — с виртуальной машины shared-vm2.localdomain, третий и вовсе подключался прямо из полноценной графической среды Kali Linux.

В целом уровень атакующих оказался довольно низким. Из 18 источников атак лишь единицы продемонстрировали признаки профессионализма. Большинство использовали простейшие автоматизированные инструменты или буквально тыкали по клавишам, следуя инструкциям из интернета. Система обнаружения вторжений Suricata успешно засекла момент получения root-доступа одним из атакующих, что ещё раз подтверждает важность многоуровневой защиты и мониторинга сетевого трафика.

Исследователи отмечают, что эта уязвимость, с одной стороны, дала возможность хакерам-любителям попрактиковаться, а с другой — позволила специалистам по безопасности собрать ценные данные об актуальных тактиках и инструментах злоумышленников.