GNU InetUtils’teki kritik kimlik doğrulama atlama güvenlik açığından aktif olarak yararlanma telnetd sunucusunun (CVE-2026-24061) vahşi doğada gözlemlendiği ve kimliği doğrulanmamış saldırganların Linux sistemlerine kök erişimi elde etmesine olanak sağladığı görüldü.
GNU InetUtils’in 1.9.3’ten 2.7’ye kadar olan sürümlerini etkileyen güvenlik açığı, KULLANICI Telnet anlaşması aşamasında iletilen ortam değişkeni.
Gray Noise, Telnet hizmetlerini (TCP/23) hedef alan koordineli bir istismar kampanyası tespit etti. telnetd-f kimlik doğrulama atlama hatası.
Saldırı, Telnet arka plan programının temizlenmemiş bir iletiyi geçtiği bir komut yerleştirme güvenlik açığından yararlanıyor KULLANICI ortam değişkeni /usr/bin/login ikili. Değeri sağlayarak -f kökSaldırganlar, tüm kimlik bilgisi kontrollerini atlayarak ve anında bir kök kabuk vererek, oturum açma programını oturumu önceden kimlik doğrulaması yapılmış gibi değerlendirmeye zorlar.
Bal küpü trafiğine ilişkin son analiz, 18 farklı kaynak IP adresinden 60 benzersiz yararlanma girişimini yakaladı. Bu saldırılar, fırsatçı taramadan, SSH anahtar enjeksiyonu ve kötü amaçlı yazılım dağıtımı da dahil olmak üzere hedeflenen kalıcılık mekanizmalarına kadar uzanır.
telnetd Güvenlik Açığı CVE-2026-24061
Güvenlik açığı şu şekilde bulunuyor: telnetd çağırır giriş yapmak programı. Tipik olarak, telnetd yürütür /usr/bin/giriş (root olarak çalışıyor) ve istemci tarafından sağlananları geçiyor KULLANICI son argüman olarak değişken.
Kullanım akışı şu şekilde ilerler:
- Müzakere: Saldırgan bir Telnet bağlantısı başlatır ve kötü amaçlı bir mesaj gönderir. ÇEVRE değişken.
- Enjeksiyon: KULLANICI değişken şu şekilde ayarlandı: -f kök.
- Uygulamak: telnetd yürütür giriş -p -h
-f kök . - Baypas: -F bayrak talimat verir giriş yapmak belirtilen kullanıcı için kimlik doğrulamayı atlamak için (kök), bir kabuk veriyor.
Yakalanan saldırı trafiğinin analizi, saldırgan davranışındaki farklı kalıpları ortaya çıkarır. En verimli kaynak, 178.16.53[.]82tutarlı bir yük yapılandırması (9600 baud, XTERM-256COLOR) kullanarak 10 benzersiz sistemi hedefleyen 12 oturuma karşılık geldi.
Saldırganlar, basit imza tespitinden kaçınmak için çeşitli veri yükü yapılandırmaları kullanıyor:
- Terminal Hızı: 38400 baud ve 9600 baud yaygındır, ancak bazı saldırılar anlaşabilir 0,0 (hız yok).
- Terminal Tipi: Yükler standartlar arasında değişiklik gösterir XTERM-256RENKuyumluluk modu xterm-256renkve genel BİLİNMİYOR türleri.
- Kullanıcıları Hedefleyin: Sırasında kök birincil hedeftir (girişimlerin %83’ü), hiç kimse, şeytanve rastgele kullanıcılar şunu beğendi: yok123 gözlemlendi.
Saldırganlar erişim sağladıklarında hemen keşif komutlarını yürütürler (uname -a, İD, kedi /etc/passwd) genellikle sınırlayıcılara sarılır (ör. Evet… ben… falan) C2 altyapısı tarafından otomatik ayrıştırma için.
Daha gelişmiş aktörler kalıcılık sağlamaya çalışır. Bir kampanya 216.106.186[.]24 3072 bitlik bir RSA anahtarı eklemeye çalıştı ~/.ssh/authorized_keys. Aynı aktör ikinci aşama Python verisini de getirmeye çalıştı (uygulamalar[.]py) bir dağıtım sunucusundan, potansiyel bir botnet işe alım dürtüsüne işaret ediyor.
| CVE Kimliği | Şiddet | CVSS Puanı | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2026-24061 | Kritik | 9.8 (Kritik) | GNU InetUtils 1.9.3 – 2.7 |
Uzlaşma Göstergeleri (IOC’ler)
| Gösterge Türü | Değer | Bağlam |
|---|---|---|
| Saldırganın IP’si | 178.16.53[.]82 | En iyi kaynak (12 oturum), Keşif |
| Saldırganın IP’si | 216.106.186[.]24 | SSH Anahtar Ekleme, Kötü Amaçlı Yazılım İndirme |
| Saldırganın IP’si | 67.220.95[.]16 | Kötü Amaçlı Yazılım Dağıtımı, İstismar |
| Saldırganın IP’si | 156.238.237[.]103 | Onaylanmış Kök Erişimi (IDS Uyarısı) |
| Kötü amaçlı yazılım URL’si | http://67.220.95[.]16:8000/apps.py | Python Yükü Teslimatı |
| Dosya adı | uygulamalar[.]py | İkinci aşama yükü |
| SSH Anahtar Açıklaması | [email protected][.]barındırma | Kalıcılık girişimleriyle ilişkili |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
