安全研究人员发现 GNU InetUtils 的 telnetd 服务器中存在一个关键的身份验证绕过漏洞(CVE-2026-24061)正被活跃利用,该漏洞允许未经身份验证的攻击者获取 Linux 系统的 root 权限。
该漏洞影响 GNU InetUtils 1.9.3 至 2.7 版本,攻击者可通过操纵 Telnet 协商阶段传递的 USER 环境变量实现远程代码执行。Grey Noise 已监测到针对 Telnet 服务(TCP/23)的协同攻击活动,攻击者利用 telnetd -f 身份验证绕过漏洞发起攻击。
漏洞利用机制分析
攻击利用了 Telnet 守护进程将未净化的 USER 环境变量传递给 /usr/bin/login 二进制文件的命令注入漏洞。通过提供 -f root 值,攻击者可强制登录程序将会话视为预认证状态,绕过所有凭证检查并立即获得 root shell。
蜜罐流量最新分析显示,已捕获来自 18 个不同源 IP 地址的 60 次独特攻击尝试。这些攻击范围从机会性扫描到针对性持久化机制,包括 SSH 密钥注入和恶意软件部署。
telnetd 漏洞 CVE-2026-24061 技术细节
该漏洞存在于 telnetd 调用 login 程序的方式中。通常 telnetd 会执行 /usr/bin/login(以 root 身份运行)并将客户端提供的 USER 变量作为最终参数传递。
攻击流程如下:
- 协商阶段:攻击者发起 Telnet 连接并发送恶意的 ENVIRON 变量
- 注入阶段:将 USER 变量设置为 -f root
- 执行阶段:telnetd 执行 login -p -h -f root
- 绕过阶段:-f 标志指示 login 跳过指定用户(root)的身份验证,直接授予 shell 权限
攻击者行为特征分析
对捕获攻击流量的分析揭示了攻击者行为的独特模式。最活跃的源 IP 178.16.53[.]82 针对 10 个不同系统发起了 12 次会话,均使用一致的载荷配置(9600 波特率,XTERM-256COLOR)。
攻击者采用多种载荷配置规避简单签名检测:
- 终端速度:常见 38400 波特率和 9600 波特率,部分攻击协商 0,0(无速度)
- 终端类型:载荷在标准 XTERM-256COLOR、兼容模式 xterm-256color 和通用 UNKNOWN 类型间变化
- 目标用户:83% 攻击针对 root 用户,但也观察到对 nobody、daemon 及随机用户名(如 nonexistent123)的探测
攻击后活动分析
获取访问权限后,攻击者立即执行侦察命令(uname -a、id、cat /etc/passwd),通常使用分隔符(如 S…EU…blah)包装以便 C2 基础设施自动解析。
更高级的攻击者尝试建立持久性访问。来自 216.106.186[.]24 的攻击活动试图将 3072 位 RSA 密钥附加到 ~/.ssh/authorized_keys。同一攻击者还尝试从分发服务器获取第二阶段 Python 载荷(apps[.]py),表明可能存在僵尸网络招募行为。
漏洞信息表
| CVE 编号 | 严重等级 | CVSS 评分 | 受影响版本 |
|---|---|---|---|
| CVE-2026-24061 | 严重 | 9.8(严重) | GNU InetUtils 1.9.3 – 2.7 |
入侵指标(IOCs)
| 指标类型 | 值 | 上下文 |
|---|---|---|
| 攻击者 IP | 178.16.53[.]82 | 主要攻击源(12 次会话),侦察活动 |
| 攻击者 IP | 216.106.186[.]24 | SSH 密钥注入,恶意软件下载 |
| 攻击者 IP | 67.220.95[.]16 | 恶意软件分发,漏洞利用 |
| 攻击者 IP | 156.238.237[.]103 | 确认获取 root 权限(IDS 警报) |
| 恶意软件 URL | http://67.220.95[.]16:8000/apps.py | Python 载荷分发 |
| 文件名 | apps[.]py | 第二阶段载荷 |
| SSH 密钥注释 | [email protected][.]hosting | 与持久化尝试相关 |
参考来源:
Hackers Exploiting telnetd Vulnerability for Root Access – Public PoC Released
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)