Специалисты Shadowserver Foundation мониторят примерно 800 000 IP-адресов, подверженных эксплоиту критического уровня CVE-2026-24061 в серверах telnetd, входящих в пакет GNU InetUtils.
GNU InetUtils — набор сетевых инструментов для дистрибутивов Linux. Утилиты могут годами работать без обновлений на устраревших устройствах.
CVE-2026-24061 имеет критический уровень угрозы. Проблема исправлена в версии 2.8. Удивительно, что угрозу не замечали почти 11 лет.
Источник проблемы: передача неконтролируемого значения переменной окружения USER непосредственно в программу /usr/bin/login, работающую с привилегиями root.
Последствия: удалённый захват полного контроля над системой (получение root-прав) без знания пароля.
Пользователь может отправить специальным образом сформированную строку "-f root" в качестве имени пользователя, получив полный доступ.
Атаки выполнялись с использованием опции согласования Telnet IAC для передачи специальных значений переменной USER. Всего зарегистрировано 60 успешных сеансов подключения с 18 разных IP-адресов.
Большинство случаев выглядят автоматизированными, однако отмечены единичные события с участием реальных операторов («живых пользователей»).
Для снижения рисков рекомендуется немедленно провести обновление до последней защищённой версии GNU InetUtils либо временно отключить службу telnetd и ограничить доступ к порту 23/TCP файрволлом.
GNU InetUtils — набор сетевых инструментов для дистрибутивов Linux. Утилиты могут годами работать без обновлений на устраревших устройствах.
CVE-2026-24061 имеет критический уровень угрозы. Проблема исправлена в версии 2.8. Удивительно, что угрозу не замечали почти 11 лет.
Источник проблемы: передача неконтролируемого значения переменной окружения USER непосредственно в программу /usr/bin/login, работающую с привилегиями root.
Последствия: удалённый захват полного контроля над системой (получение root-прав) без знания пароля.
Пользователь может отправить специальным образом сформированную строку "-f root" в качестве имени пользователя, получив полный доступ.
Атаки выполнялись с использованием опции согласования Telnet IAC для передачи специальных значений переменной USER. Всего зарегистрировано 60 успешных сеансов подключения с 18 разных IP-адресов.
Большинство случаев выглядят автоматизированными, однако отмечены единичные события с участием реальных операторов («живых пользователей»).
Для снижения рисков рекомендуется немедленно провести обновление до последней защищённой версии GNU InetUtils либо временно отключить службу telnetd и ограничить доступ к порту 23/TCP файрволлом.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь