GNU Inetutils’in telnetd bileşenindeki kritik bir kimlik doğrulama atlama güvenlik açığı, yaklaşık 800.000 internet erişimli Telnet örneğinin kimlik doğrulamasız uzaktan kod yürütülmesine (RCE) maruz kalmasına neden oldu.
CVSS puanı 9,8 olan CVE-2026-24061 olarak takip edilen kusur, saldırganların geçerli kimlik bilgileri olmadan kök düzeyinde erişim elde etmesine olanak tanıyor ve dünya çapında açıkta kalan altyapı için ciddi bir risk oluşturuyor.
Güvenlik Açığı Ayrıntıları
Güvenlik açığı, telnetd’nin 1.9.3’ten 2.7’ye kadar olan sürümlerindeki argüman ekleme hatasından kaynaklanıyor.
Telnetd sunucusu, USER ortam değişkenini/usr/bin/login dosyasına aktarmadan önce temizlemeyi başaramaz ve saldırganların “-f root” dizesini enjekte etmesine ve kimlik doğrulamayı tamamen atlamasına olanak tanır.
Bir saldırgan, KULLANICI “-f root” olarak ayarlıyken telnet -a veya –login kullanarak bağlandığında, oturum açma işlemi “-f” bayrağını zorla oturum açma parametresi olarak yorumlayarak, kimlik doğrulama kontrolleri yapmadan otomatik olarak root erişimi sağlar.
Güvenlik açığı, Mart 2015’te, Debian, Ubuntu, Kali Linux ve Trisquel dahil olmak üzere büyük Linux dağıtımlarında yaklaşık 11 yıl boyunca tespit edilemeyen bir kaynak kodu işlemiyle ortaya çıktı.
Kavram kanıtı istismarları kamuya açıklandı ve vahşi ortamda aktif olarak kullanılıyor.
GreyNoise, 21-22 Ocak 2026 tarihleri arasında 18 benzersiz saldırgan IP’sinden 60 Telnet oturumunda 1.525 paket yakalayarak, kamuya açıklandıktan sonraki 18 saat içinde gerçek dünyadaki istismarı tespit etti.
Saldırıların çoğunluğu (%83,3) kök kullanıcı erişimini hedef alırken, SSH anahtarının kalıcılığı, sistem keşfi ve kötü amaçlı yazılım dağıtma girişimleri de dahil olmak üzere istismar sonrası faaliyetlerle gerçekleşti.
Kuruluşlar derhal GNU InetUtils sürüm 2.8 veya sonrasına yükseltme yapmalıdır.
Yükseltilemeyen sistemler için kritik azaltımlar şunları içerir: telnetd hizmetinin tamamen kapatılması, ağ çevresi güvenlik duvarlarında TCP bağlantı noktası 23’ün engellenmesi ve Telnet erişiminin yalnızca güvenilir istemcilerle sınırlandırılması.
Shadowserver Vakfı’nın Erişilebilir Telnet Raporu, kuruluşların ağlarındaki açıkta kalan örnekleri tanımlamasına yardımcı olabilir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
